第一篇：網(wǎng)絡(luò)升級技術(shù)方案

網(wǎng)絡(luò)升級技術(shù)方案

12.1.1、項(xiàng)目背景

***大學(xué)校園網(wǎng)經(jīng)過多年的建設(shè)和升級，已基本覆蓋全校范圍。目前網(wǎng)絡(luò)為三層結(jié)構(gòu)，核心層采用兩臺H3C的萬兆交換機(jī)S10508，匯聚層采用了12臺H3C的S5800和7503E以萬兆上聯(lián)至核心，接入層設(shè)備主要為H3C接入交換機(jī)和銳捷接入交換機(jī)。目前采用的是基于802.1x的認(rèn)證計費(fèi)方式。學(xué)生區(qū)由于采用的是銳捷網(wǎng)絡(luò)的接入設(shè)備，所以使用的是銳捷網(wǎng)絡(luò)的認(rèn)證計費(fèi)系統(tǒng)SAM，教工宿舍采用的是H3C的接入設(shè)備，使用的是H3C的認(rèn)證計費(fèi)系統(tǒng)IMC。校園網(wǎng)現(xiàn)有網(wǎng)絡(luò)出口總帶寬1.6G，分別為教育網(wǎng)（300M)、中國電信（400M)、中國聯(lián)通（400M)、中國移動（500M)。網(wǎng)絡(luò)出口設(shè)備為一臺山石網(wǎng)科的S6000安全網(wǎng)關(guān)，由于已購置數(shù)年，隨著近年學(xué)校出口帶寬的不斷增加，其處理性能已不能滿足需求。在核心交換機(jī)和出口設(shè)備之間部署了一臺神碼的千兆流控設(shè)備。核心交換機(jī)和網(wǎng)絡(luò)出口之間采用雙千兆鏈路捆綁連接。

傳統(tǒng)三層或者多層架構(gòu)校園網(wǎng)只是滿足了基本的網(wǎng)絡(luò)互聯(lián)互通的需求，但缺乏相應(yīng)的控制和管理手段，用戶之間互相影響，類似ARP攻擊、DHCP仿冒、IP仿冒等對網(wǎng)絡(luò)的攻擊現(xiàn)象經(jīng)常發(fā)生，校園網(wǎng)絡(luò)對于用戶的審計和控制功能較弱也導(dǎo)致了網(wǎng)絡(luò)的無序使用，業(yè)務(wù)承載方面缺乏針對性的控制，網(wǎng)絡(luò)帶寬被大量占用，重要應(yīng)用得不到帶寬保障，也難以實(shí)現(xiàn)靈活的基于身份、時間、位置等的用戶控制。

當(dāng)前不同規(guī)模和不同區(qū)域的學(xué)校在建設(shè)高校校園網(wǎng)時普遍遇到的問題是： 1）如何適應(yīng)和滿足國家政策和法律法規(guī)對于校園網(wǎng)用戶的行為要求； 2）如何滿足各類業(yè)務(wù)、各類應(yīng)用和不同需求的用戶的各種承載的拓展； 3）如何降低校園網(wǎng)的管理難度和維護(hù)工作量。

要解決這些問題必須要從網(wǎng)絡(luò)架構(gòu)和業(yè)務(wù)部署模式上面進(jìn)行變革，而扁平化的架構(gòu)正好切中了解決這些問題的關(guān)鍵。從下圖可以看出扁平化網(wǎng)絡(luò)架構(gòu)將原有各層的功能在邏輯上面進(jìn)行了重新界定和劃分，使得各層設(shè)備各盡其能，也可以看出構(gòu)建和發(fā)展扁平化網(wǎng)絡(luò)架構(gòu)是一個必然趨勢。

其網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如下圖：

12.1.2、改造目標(biāo)

本次網(wǎng)絡(luò)改造，學(xué)校需實(shí)現(xiàn)以下目標(biāo)：

? 升級網(wǎng)絡(luò)出口設(shè)備，需滿足未來出口帶寬擴(kuò)到5G以上的需求，并且實(shí)現(xiàn)網(wǎng)絡(luò)出口的鏈路負(fù)載均衡和各種網(wǎng)絡(luò)安全措施，入侵防御（IPS)、網(wǎng)站防護(hù)(WAF)、上網(wǎng)行為管理、流控、SSL VPN遠(yuǎn)程接入訪問校內(nèi)資源等。

? 統(tǒng)一全校范圍內(nèi)的認(rèn)證計費(fèi)。采用支持多種認(rèn)證方式（PPPoe、IPoe、portal）的BRAS設(shè)備，配合統(tǒng)一的認(rèn)證計費(fèi)管理軟件，實(shí)現(xiàn)與學(xué)校一卡通系統(tǒng)的整合。

? 實(shí)現(xiàn)校園網(wǎng)扁平化，構(gòu)建扁平化的網(wǎng)絡(luò)架構(gòu)就是將原來各個層次模糊的功能區(qū)分清晰化，不同層次之間各司其職，有利于管理和維護(hù)，這種簡單化的架構(gòu)使得網(wǎng)絡(luò)有更高的效率。? 校園網(wǎng)目前由教學(xué)網(wǎng)、學(xué)生宿舍網(wǎng)、教育網(wǎng)、一卡通專網(wǎng)、財務(wù)專網(wǎng)和科研專網(wǎng)等多個網(wǎng)絡(luò)的混合體，校園網(wǎng)的高性能還要體現(xiàn)在多個網(wǎng)絡(luò)多個業(yè)務(wù)并發(fā)的同時保證性能不下降，實(shí)現(xiàn)在同一個物理平臺上構(gòu)建出多個邏輯上完全獨(dú)立的網(wǎng)絡(luò)平臺，這些網(wǎng)絡(luò)平臺和主網(wǎng)絡(luò)平臺還要具有相同的功能。所以，從學(xué)校建設(shè)一卡通系統(tǒng)需提供一套邏輯隔離的專用校園網(wǎng)網(wǎng)絡(luò)。? 為學(xué)校即將建設(shè)的“一卡通數(shù)字校園”數(shù)據(jù)中心服務(wù)器群提供萬兆接入校園網(wǎng)。? 更換和升級原有的老舊接入交換機(jī)（100臺24口、5臺48口全千兆接入交換機(jī)）。

12.1.3、需求分析 A、網(wǎng)絡(luò)出口改造需求分析

目前***大學(xué)校園網(wǎng)絡(luò)規(guī)模較大，包括核心、匯聚（各科院、學(xué)生公寓、校辦、圖書館等等）、接入的三層網(wǎng)絡(luò)架構(gòu)；其中服務(wù)器區(qū)域部署了對外的門戶網(wǎng)站系統(tǒng)、選課系統(tǒng)、正在進(jìn)行新增的校園一卡通系統(tǒng)等以及對內(nèi)的OA辦公系統(tǒng)、多媒體教學(xué)系統(tǒng)等多套系統(tǒng)平臺；同時有多條運(yùn)營商Internet出口鏈路在運(yùn)行使用中。安全防護(hù)措施只在出口部署了基本的三層安全防護(hù)（防火墻）以及簡單的流控策略。

網(wǎng)絡(luò)拓?fù)鋱D如下：

通過與客戶溝通交流，以及對學(xué)校網(wǎng)絡(luò)的分析討論，確定湖南***大學(xué)網(wǎng)絡(luò)目前存在以下問題：

1、***大學(xué)網(wǎng)絡(luò)目前沒有全網(wǎng)的入侵防護(hù)機(jī)制，尤其缺失針對應(yīng)用的攻擊檢測和防御。

2、出口鏈路資源利用不均衡，利用率低，未針對學(xué)院應(yīng)用進(jìn)行優(yōu)化：多條運(yùn)營商出口鏈路，但未進(jìn)行負(fù)載均衡以及針對不同運(yùn)營商DNS智能解析和智能路由。

3、不具備完善的流量管控功能，無法根據(jù)客戶不同應(yīng)用進(jìn)行精細(xì)化的流量識別、管控；同時沒有針對公安部82號令，對可能的上網(wǎng)行為風(fēng)險進(jìn)行把控，存在危害性較大的政治風(fēng)險（如校內(nèi)非法的上網(wǎng)行為，涉黃、暴力、誹謗等等信息造成的社會影響）。

4、目前***大學(xué)網(wǎng)站無任何的應(yīng)用級安全防護(hù)措施（只有傳統(tǒng)的防火墻簡單防護(hù)），完全暴露在攻擊環(huán)境中，存在著非常嚴(yán)重的安全風(fēng)險（包括DDOS攻擊，木馬盜鏈，SQL注入，網(wǎng)頁篡改等等）。

5、***大學(xué)面向?qū)W生的選課系統(tǒng)存在一個域名，2個IP（即多臺服務(wù)器）情況，目前采取的是輪詢機(jī)制，但是該機(jī)制嚴(yán)重浪費(fèi)服務(wù)器性能，并在高峰期可能造成系統(tǒng)癱瘓，延誤學(xué)校正常的教學(xué)課程。同樣的問題在***大學(xué)其他系統(tǒng)中依然存在。

6、***大學(xué)服務(wù)器集群區(qū)（數(shù)據(jù)中心）目前沒有單獨(dú)的安全防護(hù)措施（僅出口傳統(tǒng)防火墻簡單防護(hù)），同時沒有將對外系統(tǒng)和對內(nèi)系統(tǒng)隔離，存在嚴(yán)重的安全隱患。

7、***大學(xué)目前提供對外的學(xué)校網(wǎng)站DNS服務(wù)，具體解決辦法是分別部署3臺DNS系統(tǒng)，通過雙網(wǎng)卡一端連接內(nèi)網(wǎng)，一端分別連接電信、移動、聯(lián)通外網(wǎng)出口，電信用戶訪問學(xué)校網(wǎng)站則返回給對應(yīng)網(wǎng)站域名的電信IP，移動、聯(lián)通同樣的處理模式。這種部署方式實(shí)質(zhì)上將***大學(xué)整個數(shù)據(jù)中心直接暴露在外網(wǎng)環(huán)境中，時刻存在全數(shù)據(jù)中心被攻擊的風(fēng)險，同時3DNS系統(tǒng)的部署方式也浪費(fèi)了服務(wù)器資源，降低了資源利用率。

通過對客戶系統(tǒng)現(xiàn)狀的了解分析，以及與客戶的溝通交流，確定本次安全建設(shè)需求如下：

1、整網(wǎng)入侵防御系統(tǒng)：針對現(xiàn)在流行的以蠕蟲、木馬、間諜軟件、DDoS攻擊、帶寬濫用為代表的應(yīng)用層攻擊，需要在核心鏈路部署入侵防御系統(tǒng)對整網(wǎng)的應(yīng)用層入侵提供安全保障。

2、WEB應(yīng)用安全防護(hù)：此次web系統(tǒng)作為對外企業(yè)門戶網(wǎng)站系統(tǒng)平臺，需要考慮在Internet上的安全因素，如跨站腳本攻擊、網(wǎng)頁篡改、DDOS攻擊、SQL注入攻擊、溢出攻擊等等。而WEB應(yīng)用的安全防護(hù)，需要通過主動與被動結(jié)合，事前防御和事后彌補(bǔ)的多層次手段來達(dá)到防護(hù)目的。

3、鏈路及系統(tǒng)優(yōu)化：

a鏈路負(fù)載：

1、inbond：根據(jù)訪問源所屬運(yùn)營商，通過DNS智能解析將訪問反饋數(shù)據(jù)發(fā)送到對應(yīng)運(yùn)營商鏈路，提高用戶體驗(yàn)。

2、outbond：由于客戶現(xiàn)網(wǎng)擁有多條出口鏈路，為了使客戶帶寬資源利用率提高，以及優(yōu)化Internet訪問，需要根據(jù)訪問目的IP、域名DNS解析地址等等對出口鏈路進(jìn)行負(fù)載均衡。

b服務(wù)器負(fù)載：由于***大學(xué)內(nèi)外系統(tǒng)平臺的訪問頻繁及高流量、高峰值的特性，所以需要對系統(tǒng)服務(wù)器群進(jìn)行訪問優(yōu)化，根據(jù)每臺服務(wù)器實(shí)時性能狀態(tài)、資源耗用率，鏈路質(zhì)量等等因素對業(yè)務(wù)系統(tǒng)進(jìn)行負(fù)載均衡

4、流量控制及上網(wǎng)審計需求：根據(jù)公安部第82號令，以及學(xué)校自身辦公效率提升訴求，需要針對網(wǎng)絡(luò)出口不同流量進(jìn)行智能分析處理，保障關(guān)鍵應(yīng)用流量，限制無關(guān)應(yīng)用，同時規(guī)范師生上網(wǎng)行為，防止非法上網(wǎng)行為給學(xué)校造成不良的社會影響。

5、DNS智能解析需求：根據(jù)不同運(yùn)營商訪問源及目的，智能選擇流量路徑。

6、可對全網(wǎng)安全防護(hù)設(shè)備進(jìn)行統(tǒng)一平臺管理，解決網(wǎng)絡(luò)異構(gòu)管理難題。

B、統(tǒng)一認(rèn)證系統(tǒng)需求分析

***大學(xué)目前使用的是基于802.1x協(xié)議的H3C公司和銳捷公司的兩套不同認(rèn)證計費(fèi)系統(tǒng)。隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，網(wǎng)絡(luò)應(yīng)用的增多，采用該協(xié)議的認(rèn)證計費(fèi)逐漸遇到很多問題，主要表現(xiàn)在：

該協(xié)議設(shè)計之初，本是為了解決無線接入認(rèn)證計費(fèi)問題，為了將其引入以太網(wǎng)進(jìn)行認(rèn)證計費(fèi)，不同接入交換機(jī)生產(chǎn)廠家對其進(jìn)行了相應(yīng)改造，從而導(dǎo)致不同廠商對該協(xié)議有不同的私有化，進(jìn)而存在兼容問題，客戶如果要想新購設(shè)備，就必須購買與認(rèn)證系統(tǒng)同一品牌交換機(jī)，否則無法接入網(wǎng)絡(luò)；第二，要在以太網(wǎng)上有效的使用該協(xié)議，就必須安裝與設(shè)備廠商配套的802.1x客戶端軟件，而且該軟件與操作系統(tǒng)的TCP/IP協(xié)議棧是強(qiáng)耦合關(guān)系，所以對應(yīng)不同的操作系統(tǒng)（如Windows、MAC OS、Linux等）的不同版本，就有不同的客戶端版本，導(dǎo)致軟件兼容性問題，這給網(wǎng)絡(luò)運(yùn)維人員帶來無盡的維護(hù)工作量；第三，目前的802.1x系統(tǒng)，無法按照校內(nèi)/校外以及免費(fèi)/收費(fèi)流量進(jìn)行統(tǒng)計，所以無法實(shí)現(xiàn)按照不同流量的分離計費(fèi)。此外，采用802.1X的認(rèn)證計費(fèi)方式無法實(shí)現(xiàn)統(tǒng)一端口下，多臺終端同時上網(wǎng)問題（即家屬區(qū)用戶無法通過家用soho路由設(shè)備實(shí)現(xiàn)多臺終端上網(wǎng)）。然而，這種應(yīng)用需求越來越強(qiáng)烈。最后，家用網(wǎng)絡(luò)電視、網(wǎng)絡(luò)冰箱或者物聯(lián)網(wǎng)終端，上網(wǎng)如何認(rèn)證計費(fèi)問題，也困擾著網(wǎng)絡(luò)管理者。因此，需要對認(rèn)證計費(fèi)系統(tǒng)進(jìn)行改造，建設(shè)統(tǒng)一的網(wǎng)絡(luò)認(rèn)證平臺，實(shí)現(xiàn)準(zhǔn)入和準(zhǔn)出的控制及按流量的認(rèn)證計費(fèi)。準(zhǔn)出控制系統(tǒng)，采用網(wǎng)關(guān)型的準(zhǔn)出控制系統(tǒng)，對校園用戶進(jìn)行準(zhǔn)出控制?？梢杂行ёR別用戶的收費(fèi)/免費(fèi)流量，同時通過與統(tǒng)一認(rèn)證計費(fèi)平臺的協(xié)同工作，可以有效控制用戶是否具有外網(wǎng)訪問權(quán)限，進(jìn)而控制用戶訪問外網(wǎng)的帶寬。準(zhǔn)入控制實(shí)現(xiàn)基于pppoe、ipoe及portal的準(zhǔn)入控制。網(wǎng)絡(luò)中不同區(qū)域靈活選擇認(rèn)證策略。

統(tǒng)一認(rèn)證計費(fèi)平臺的建設(shè)需要滿足一下場景的需求：

1、為保障未來五年內(nèi)業(yè)務(wù)量的快速增長，核心網(wǎng)絡(luò)需要具備T級別的交換容量；

2、支持有線無線一體化接入。Portal與PPPOE方式均需支持；

3、可實(shí)現(xiàn)對于學(xué)生訪問學(xué)校內(nèi)網(wǎng)不認(rèn)證、不計費(fèi)，只有在訪問外網(wǎng)時才認(rèn)證、計費(fèi)；

4、學(xué)生上網(wǎng)行為可監(jiān)管，上網(wǎng)記錄可溯源；

5、教師在辦公區(qū)辦公時上網(wǎng)進(jìn)行認(rèn)證不計費(fèi)，在家屬區(qū)上網(wǎng)時進(jìn)行計費(fèi)。另外要求，教師在辦公區(qū)上線時，也要能夠支持同一賬戶在家屬區(qū)同時上線，并且進(jìn)行計費(fèi)的功能。

6、對于學(xué)生和用戶的賬戶有一個暫停計費(fèi)的功能，比如學(xué)生采取包月的形式，如果1號交錢，學(xué)生5號放暑假，如果學(xué)生在自助網(wǎng)頁上選擇5號暫停服務(wù)，則系統(tǒng)計費(fèi)的時間段應(yīng)能夠往下一個月自動后移；

7、計費(fèi)系統(tǒng)應(yīng)有針對用戶進(jìn)行時間補(bǔ)償?shù)墓δ埽瑧?yīng)用場景：如果某一地塊網(wǎng)絡(luò)故障，則需要對該地塊的上線用戶贈送5天免費(fèi)上網(wǎng)的補(bǔ)償。

8、對于導(dǎo)師帶領(lǐng)學(xué)生做項(xiàng)目和教師帶領(lǐng)學(xué)生勤工儉學(xué)的場景，需要支持主賬號和附屬賬號的功能，比如一個導(dǎo)師的主免費(fèi)賬號下，下掛20個附屬賬號也屬于免費(fèi)賬號，并且上線時做單獨(dú)的賬戶和密碼認(rèn)證。

9、主賬號和附屬賬戶的模式也須支持學(xué)?？蒲许?xiàng)目申請的方式，并支持收費(fèi)。比如：學(xué)校一名教師申請了一個科研課題，拿出一定經(jīng)費(fèi)申請一個項(xiàng)目科研主賬號和多個子賬號開展工作，此時對該團(tuán)隊(duì)的項(xiàng)目的上網(wǎng)計費(fèi)僅需計費(fèi)主賬號，主賬號一旦計費(fèi)時間截止，則所有子賬號也均不能再上網(wǎng)。

10、支持對于各個學(xué)院的專線接入開會功能，如實(shí)驗(yàn)室采用專線接入，則應(yīng)支持對專線用戶開戶，開戶后對專線用戶的整體接入帶寬和不對下面的接入用戶再進(jìn)行認(rèn)證和計費(fèi)限制；

11、對于打印機(jī)等啞終端的接入做MAC地址認(rèn)證和IP綁定；

12、全網(wǎng)IPv4/V6雙棧部署，并充分考慮向全I(xiàn)Pv6網(wǎng)絡(luò)的過渡；

13、考慮運(yùn)營商用戶接入，校方和運(yùn)營商之間在用戶認(rèn)證計費(fèi)管理運(yùn)維上能實(shí)現(xiàn)協(xié)同； C、網(wǎng)絡(luò)扁平化需求分析

使校園網(wǎng)的功能劃分更清晰，核心層設(shè)備由于性能很強(qiáng)可以對新功能新業(yè)務(wù)能夠提供良好的支持，匯聚層和接入層只需要考慮接入端口的擴(kuò)充、上行帶寬的增加，管理上面顯得更加簡單；校園網(wǎng)扁平化網(wǎng)絡(luò)并不是意味著網(wǎng)絡(luò)物理層次的減少，而是網(wǎng)絡(luò)邏輯層次的扁平。構(gòu)建扁平化的網(wǎng)絡(luò)架構(gòu)就是將原來各個層次模糊的功能區(qū)分清晰化，不同層次之間各司其職，有利于管理和維護(hù)，這種簡單化的架構(gòu)使得網(wǎng)絡(luò)有更高的效率。由三層結(jié)構(gòu)變?yōu)槎咏Y(jié)構(gòu)，在這種網(wǎng)絡(luò)架構(gòu)下面可以使用高性能多業(yè)務(wù)路由器作為整個網(wǎng)絡(luò)的核心設(shè)備替代原有架構(gòu)的高端三層交換機(jī)，使更多的組播、線速轉(zhuǎn)發(fā)、用戶論證和審計等核心工作由功能和性能均強(qiáng)大的設(shè)備來完成，從而實(shí)現(xiàn)整個校園網(wǎng)的高性能。

對原有校園網(wǎng)架構(gòu)升級改造為扁平化的網(wǎng)絡(luò)架構(gòu)后對于系統(tǒng)管理員和普通用戶而言，其應(yīng)用效果表現(xiàn)在：

1）一個簡單的的網(wǎng)絡(luò)架構(gòu)：也就是將原有的多達(dá)三層或更多層的校園網(wǎng)結(jié)構(gòu)簡化為了二層結(jié)構(gòu)，即業(yè)務(wù)控制層（核心網(wǎng)絡(luò)層）和寬帶接入層（接入層），在邏輯意義上面實(shí)現(xiàn)了網(wǎng)絡(luò)結(jié)構(gòu)的平滑過渡。

2）一個多業(yè)務(wù)的系統(tǒng)：指網(wǎng)絡(luò)平臺支持用戶接入、認(rèn)證、審計、計費(fèi)、帶寬管理、行為控制，同時也支持MPLS VPN、IPv6、組播業(yè)務(wù)的應(yīng)用和快速部署。

3）一個統(tǒng)一身份認(rèn)證的平臺：實(shí)現(xiàn)了有線、無線用戶的任意漫游，也實(shí)現(xiàn)了不同系統(tǒng)之間用戶的統(tǒng)一認(rèn)證，避免重復(fù)地多次認(rèn)證，提高用戶了體驗(yàn)。

4）一個透明的網(wǎng)絡(luò)：校園網(wǎng)對用戶仍然是透明的，用戶無需關(guān)心網(wǎng)絡(luò)流量如何轉(zhuǎn)發(fā)，用戶無論在哪里登錄，都可以獲得相同的訪問權(quán)限和帶寬保障。

D、一卡通專網(wǎng)需求分析

隨著微電子技術(shù)、計算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通訊技術(shù)的飛速發(fā)展，“數(shù)字化校園”已經(jīng)不單單是一個概念，各大高校已經(jīng)陸陸續(xù)續(xù)地開始對校園網(wǎng)進(jìn)行數(shù)字化建設(shè)。其中，校園“一卡通”系統(tǒng)以其便捷、高效、安全、環(huán)保等特點(diǎn)成為了數(shù)字化校園建設(shè)的重要組成部分。

校園“一卡通”以智能卡為信息載體，融合了各領(lǐng)域諸多高新科技，使其具有電子身份識別和電子錢包的功能。能夠替代校園內(nèi)日常生活所需各種證件以及完成校園內(nèi)的各種支付業(yè)務(wù)，如：飯卡、醫(yī)療卡、上網(wǎng)卡等。最終達(dá)到教、學(xué)、考、評、住、用的全面數(shù)字化和網(wǎng)絡(luò)化，真正實(shí)現(xiàn)了“一卡在手，走遍校園”。

***大學(xué)的校園主干網(wǎng)部分是整個校園一卡通系統(tǒng)的核心，消費(fèi)結(jié)算中心各種數(shù)據(jù)服務(wù)器和各種自助圈存設(shè)備通過校園主干網(wǎng)與各終端設(shè)備和銀行網(wǎng)絡(luò)的前置機(jī)進(jìn)行通信。為了保證網(wǎng)絡(luò)系統(tǒng)的安全性和便于管理，一般采用專網(wǎng)形式，獨(dú)立于校園網(wǎng)。一卡通網(wǎng)絡(luò)可以采用基于校園網(wǎng)的內(nèi)部虛擬專用網(wǎng)(virtual?private?network)，即在校園網(wǎng)絡(luò)基礎(chǔ)設(shè)施上建成的專用數(shù)據(jù)通信網(wǎng)絡(luò)。數(shù)據(jù)通過安全的加密隧道在校園網(wǎng)中傳輸，從而保證通信的保密性。vpn與一般網(wǎng)絡(luò)互聯(lián)的關(guān)鍵區(qū)別在于用戶的數(shù)據(jù)通過校園網(wǎng)中建立邏輯隧道進(jìn)行傳輸，數(shù)據(jù)包經(jīng)過加密后，按隧道協(xié)議進(jìn)行封裝、傳送，并通過相應(yīng)的認(rèn)證技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)的專有性。

校園網(wǎng)一卡通主干網(wǎng)(高速以太網(wǎng))部分，要求所有的以太網(wǎng)設(shè)備在vlan部分和現(xiàn)有的校園網(wǎng)設(shè)備隔離，保證現(xiàn)有的校園網(wǎng)和一卡通部分是兩個網(wǎng)絡(luò)，設(shè)備不允許互相訪問。同時為了共享已有的校園網(wǎng)資源，所以，一卡通與校園網(wǎng)采用防火墻進(jìn)行單通道連接，保證一卡通網(wǎng)絡(luò)能訪問校園網(wǎng)數(shù)據(jù)，如：信息化校園建設(shè)必不可少的對統(tǒng)一身份認(rèn)證服務(wù)器和門戶網(wǎng)站的訪問。但校園網(wǎng)不能隨意訪問一卡通專網(wǎng)，這樣將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，使得一卡通網(wǎng)絡(luò)上的設(shè)備能夠安全、穩(wěn)定的運(yùn)行。

一卡通網(wǎng)絡(luò)結(jié)構(gòu)可以分為三層。一卡通網(wǎng)絡(luò)的中心層，是以數(shù)據(jù)庫服務(wù)器為中心的局域網(wǎng)的分布式結(jié)構(gòu)。中心層設(shè)置中心交換機(jī)，與身份認(rèn)證系統(tǒng)，卡務(wù)管理機(jī)，結(jié)算管理機(jī)，結(jié)算中心服務(wù)器一起構(gòu)成一卡通網(wǎng)絡(luò)與結(jié)算中心，它是一卡通系統(tǒng)的管理平臺、身份認(rèn)證平臺和數(shù)據(jù)庫中心。通過光纜與各結(jié)點(diǎn)相連與一卡通網(wǎng)絡(luò)的中心組成第一層網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)置二級交換機(jī)。第三層為以第一層局域網(wǎng)的網(wǎng)絡(luò)工作站作為控制主機(jī)的控制各個ic卡收費(fèi)終端的網(wǎng)絡(luò)。連接到專網(wǎng)的串口設(shè)備子網(wǎng)，以及專網(wǎng)計算機(jī)校園網(wǎng)和銀行金融網(wǎng)的接口，要同期設(shè)計建設(shè)。一卡通專網(wǎng)采用tcp/ip網(wǎng)絡(luò)協(xié)議。整個一卡通專網(wǎng)所用交換機(jī)，建議采用端口mac地址綁定，使每個端口只能設(shè)置唯一的ip地址，連接特定的設(shè)備，從而保證了整個網(wǎng)絡(luò)的安全性。

通過網(wǎng)絡(luò)分段實(shí)現(xiàn)

首先是網(wǎng)絡(luò)分段。在實(shí)際應(yīng)用過程中，通常采取物理分段(即在物理層和數(shù)據(jù)鏈路層)上分為若干網(wǎng)段與邏輯分段(即把網(wǎng)絡(luò)分成若干ip子網(wǎng))相結(jié)合的方法來實(shí)現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的安全性控制。

其次，關(guān)于vlan的實(shí)現(xiàn)。虛擬網(wǎng)技術(shù)主要基于近年高速發(fā)展的局域網(wǎng)交換技術(shù)(atm和以太網(wǎng)交換)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。以太網(wǎng)從本質(zhì)上基于廣播機(jī)制，但應(yīng)用了交換機(jī)和vlan技術(shù)后，實(shí)際上轉(zhuǎn)變?yōu)辄c(diǎn)到點(diǎn)通訊。如上圖，不同系統(tǒng)在網(wǎng)上劃分為不同的虛擬網(wǎng)，如“一卡通”卡務(wù)中心和消費(fèi)系統(tǒng)劃分在不同的vlan段，通過以下相應(yīng)的vlan劃分方法來提高網(wǎng)絡(luò)安全。

1、基于端口的vlan，就是將交換機(jī)中的若干個端口定義為一個vlan，同一個vlan中的計算機(jī)具有相同的網(wǎng)絡(luò)地址，不同vlan之間進(jìn)行通訊需要通過三層路由協(xié)議，并配合mac地址的端口過濾，就可以防止非法入侵和ip地址的盜用問題。

2、基于mac地址的vlan，這種vlan一旦劃分完成，無論節(jié)點(diǎn)在網(wǎng)絡(luò)上怎樣移?動，由于mac地址保持不變，因此不需要重新配置。但是如果新增加節(jié)點(diǎn)的話，需要對交換機(jī)進(jìn)行復(fù)雜的配置，以確定該節(jié)點(diǎn)屬于哪一個vlan。

3、基于ip地址的vlan，新增加節(jié)點(diǎn)時，無須進(jìn)行太多配置，交換機(jī)根據(jù)ip地址會自動將其劃分到不同的vlan。這中vlan智能化最高，實(shí)現(xiàn)最復(fù)雜。一旦離開該vlan，原ip地址將不可用，從而防止了非法用戶通過修改ip地址來越權(quán)使用資源。

E、數(shù)據(jù)中心網(wǎng)絡(luò)需求分析

數(shù)據(jù)中心交換機(jī)負(fù)責(zé)整個校園網(wǎng)數(shù)據(jù)中心平臺上應(yīng)用業(yè)務(wù)數(shù)據(jù)的高速交換。兩臺數(shù)據(jù)中心交換機(jī)分別與計算池、存儲池、WEB應(yīng)用服務(wù)器以及管理區(qū)連接，數(shù)據(jù)中心交換機(jī)與計算池、存儲池、WEB應(yīng)用服務(wù)器間均采用萬兆接口捆綁互聯(lián)。

兩臺數(shù)據(jù)中心部署IRF2虛擬化技術(shù)，簡化路由協(xié)議運(yùn)行狀態(tài)與運(yùn)維管理，同時大大縮短設(shè)備及鏈路出現(xiàn)故障快速切換，避免網(wǎng)絡(luò)震蕩。IRF2互聯(lián)鏈路采用2*10GE捆綁，保證高可靠及橫向互訪高帶寬。

12.1.4、方案設(shè)計 A、網(wǎng)絡(luò)出口方案設(shè)計

通過與客戶進(jìn)行技術(shù)交流，需求收集及分析，此次湖南***大學(xué)網(wǎng)絡(luò)的整體安全改造解決方案包含系統(tǒng)出口入侵防御系統(tǒng)、WEB應(yīng)用安全防護(hù)、鏈路和系統(tǒng)服務(wù)優(yōu)化及DNS智能解析（負(fù)載均衡）、流量控制及上網(wǎng)行為審計等六大方面。通過多層次、多緯度的防護(hù)技術(shù)和客戶系統(tǒng)的應(yīng)用交付優(yōu)化措施，為客戶網(wǎng)絡(luò)完成全方位無縫隙的安全防護(hù)，以及更優(yōu)的用戶體驗(yàn)。

客戶系統(tǒng)通過本方案的建設(shè)部署后，整體拓?fù)淙缦拢? 湖南師范大學(xué)拓?fù)鋱D備注：千兆線路萬兆線路電信移動聯(lián)通教育網(wǎng)負(fù)載均衡入侵防御系統(tǒng)上網(wǎng)行為管理Web應(yīng)用防火墻DPX8000匯聚交換機(jī)服務(wù)器區(qū)域核心2核心1匯聚層食堂體育館圖書館網(wǎng)絡(luò)中心實(shí)驗(yàn)樓學(xué)生處教學(xué)樓綜合樓學(xué)生區(qū)匯聚層接入層接入層

通過我司的解決方案部署（如上圖），將我司DPX8000深度業(yè)務(wù)交換網(wǎng)關(guān)產(chǎn)品替換掉原有的3層基礎(chǔ)防火墻，通過在DPX8000擴(kuò)展槽插卡多類業(yè)務(wù)板卡（如IPS、負(fù)載均衡、漏洞掃描、WAF等等），解決***大學(xué)網(wǎng)絡(luò)L4-7層安全措施缺乏的問題，同時將***大學(xué)內(nèi)外系統(tǒng)（數(shù)據(jù)中心）隔離，外網(wǎng)作為單獨(dú)的DMZ區(qū)與DPX8000相連，web服務(wù)器部署我司網(wǎng)頁防篡改產(chǎn)品（Webshield）配合我司W(wǎng)AF業(yè)務(wù)板卡對***大學(xué)web業(yè)務(wù)進(jìn)行主動、被動結(jié)合的安全防護(hù)，而在內(nèi)部系統(tǒng)(數(shù)據(jù)中心)出口部署我司負(fù)載均衡，單獨(dú)防護(hù)并對內(nèi)網(wǎng)系統(tǒng)進(jìn)行應(yīng)用優(yōu)化，并通過我司UMC統(tǒng)一管理平臺進(jìn)行管理，解決網(wǎng)絡(luò)異構(gòu)管理的難題，最終完成對***大學(xué)網(wǎng)絡(luò)整體、多層次、基于不同應(yīng)用安全需求的安全防護(hù)。

建設(shè)思路

針對目前的網(wǎng)絡(luò)概況，將在本次網(wǎng)絡(luò)中部署迪普科技深度業(yè)務(wù)交換網(wǎng)關(guān)DPX8000實(shí)現(xiàn)***大學(xué)網(wǎng)絡(luò)多維度安全防護(hù)，通過多塊業(yè)務(wù)板卡在DPX8000上的部署，實(shí)現(xiàn)出口入侵防御系統(tǒng)、WEB應(yīng)用安全防護(hù)、鏈路和系統(tǒng)服務(wù)優(yōu)化及DNS智能解析（負(fù)載均衡）、流量控制及上網(wǎng)審計等全方位的安全和應(yīng)用優(yōu)化功能。

隨著VoIP、高清視頻、Web2.0、云計算等新技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)數(shù)據(jù)傳輸容量出現(xiàn)了幾何級增長，據(jù)吉爾德定律預(yù)示，未來25年，帶寬每六個月將增加一倍。如此飛速增長的數(shù)據(jù)業(yè)務(wù)不僅將使網(wǎng)絡(luò)架構(gòu)變得非常復(fù)雜，也將面臨網(wǎng)絡(luò)安全、應(yīng)用體驗(yàn)性、業(yè)務(wù)持續(xù)可用等巨大挑戰(zhàn)。傳統(tǒng)的解決方法是使用大容量交換設(shè)備之外部署防火墻、IPS、流量控制、應(yīng)用交付等深度業(yè)務(wù)處理設(shè)備，這種網(wǎng)絡(luò)層與業(yè)務(wù)層相分離的架構(gòu)初期比較靈活，但卻只能適用于小型網(wǎng)絡(luò)，主要原因有：

? 設(shè)備的不斷疊加使得網(wǎng)絡(luò)變得越來越復(fù)雜，并帶來大量單點(diǎn)故障 ? 數(shù)據(jù)報文的多次重復(fù)解析和處理，造成網(wǎng)絡(luò)性能的衰減和延遲的增加

? 多廠商、多設(shè)備間相互兼容困難，特別是隨著網(wǎng)絡(luò)規(guī)模和組網(wǎng)模式的不斷革新，難以實(shí)現(xiàn)性能、功能、接口的按需擴(kuò)展

? 網(wǎng)絡(luò)與安全技術(shù)兼容困難，如MPLS VPN、IPv6、虛擬化等 ? 各設(shè)備間物理和邏輯都是分割的，無法統(tǒng)一管理

很顯然，這種“葫蘆串”的簡單疊加模式看似合理，但已遠(yuǎn)遠(yuǎn)落后于用戶業(yè)務(wù)需求的增長速度，不僅會耗費(fèi)大量人力物力，造成資源的浪費(fèi)，同時也會使得網(wǎng)絡(luò)變得異常復(fù)雜，帶來可靠性、性能、擴(kuò)展能力、網(wǎng)絡(luò)兼容性、管理等大量新問題。

如何有效解決上述問題，在大容量線速無阻塞轉(zhuǎn)發(fā)條件下，保證網(wǎng)絡(luò)及業(yè)務(wù)的安全、快速、可用？隨著網(wǎng)絡(luò)標(biāo)準(zhǔn)化、虛擬化、智能化程度的不斷提高，只有通過將交換、應(yīng)用和業(yè)務(wù)進(jìn)行深度整合，并借助虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)層和業(yè)務(wù)層的無縫融合，才能達(dá)到簡化網(wǎng)絡(luò)架構(gòu)、提高網(wǎng)絡(luò)效率、在融合過程中保護(hù)用戶既有資源的目的。DPtech 正是在此背景下推出了DPX8000系列深度業(yè)務(wù)交換網(wǎng)關(guān)，包括DPX8000-A3、DPX8000-A5、DPX8000-A12三款產(chǎn)品。

DPX8000系列產(chǎn)品基于DPtech自主知識產(chǎn)權(quán)的ConPlat軟件平臺，集業(yè)務(wù)交換、網(wǎng)絡(luò)安全、應(yīng)用交付三大功能于一體。在提供IPv4/IPv6、MPLS VPN、不間斷轉(zhuǎn)發(fā)、環(huán)網(wǎng)保護(hù)等豐富網(wǎng)絡(luò)特性基礎(chǔ)上，還可以提供應(yīng)用防火墻、IPS、UAG、異常流量清洗/檢測、應(yīng)用交付等深度業(yè)務(wù)的線速處理，是目前業(yè)界業(yè)務(wù)擴(kuò)展能力最強(qiáng)、處理能力最高、接口密度最高的深度業(yè)務(wù)交換網(wǎng)關(guān)，旨在滿足運(yùn)營商、數(shù)據(jù)中心、大型企業(yè)的高性能網(wǎng)絡(luò)深度業(yè)務(wù)處理需要。

入侵防御系統(tǒng)

通過我司入侵防御系統(tǒng)IPS2000業(yè)務(wù)板塊的部署，完成對***大學(xué)出口整網(wǎng)的入侵檢測和防御（深度內(nèi)容檢測技術(shù)），迪普獨(dú)有的“并行流過濾引擎”技術(shù)，在保證網(wǎng)絡(luò)高安全的同時完成數(shù)據(jù)的線速處理，保障客戶體驗(yàn)。

隨著網(wǎng)絡(luò)的飛速發(fā)展，以蠕蟲、木馬、間諜軟件、DDoS攻擊、帶寬濫用為代表的應(yīng)用層攻擊層出不窮。傳統(tǒng)的基于網(wǎng)絡(luò)層的防護(hù)只能針對報文頭進(jìn)行檢查和規(guī)則匹配，但目前大量應(yīng)用層攻擊都隱藏在正常報文中，甚至是跨越幾個報文，因此僅僅分析單個報文頭意義不大。IPS正是通過對報文進(jìn)行深度檢測，對應(yīng)用層威脅進(jìn)行實(shí)時防御的安全產(chǎn)品。但目前大多數(shù)IPS都是從原有的IDS平臺改制而來，性能低、誤報和漏報率高、可靠性差，尤其是在新應(yīng)用不斷增多、特征庫不斷增長的情況下，性能壓力持續(xù)增加，只能通過減少或關(guān)閉特征庫來規(guī)避。這樣的IPS不僅起不到安全防御的作用，甚至?xí)蔀榫W(wǎng)絡(luò)中的故障點(diǎn)。

如何保證IPS在深度檢測條件下仍能保證線速處理、微秒級時延？很顯然，傳統(tǒng)的基于串行設(shè)計思想的硬件和軟件架構(gòu)，無論是X86、ASIC或是NP，都無法承受成千上萬條且在不斷更新中的漏洞庫，更不用說再增加病毒庫、應(yīng)用協(xié)議庫??。迪普科技在IPS2000 N系列IPS中，創(chuàng)新性的采用了并發(fā)硬件處理架構(gòu)，并采用獨(dú)有的“并行流過濾引擎”技術(shù)，性能不受特征庫大小、策略數(shù)大小的影響，全部安全策略可以一次匹配完成，即使在特征庫不斷增加的情況下，也不會造成性能的下降和網(wǎng)絡(luò)時延的增加。同時，迪普科技IPS還采用了管理平面和數(shù)據(jù)平面相分離技術(shù)，這種的分離式雙通道設(shè)計，不僅消除了管理通道與數(shù)據(jù)通道間相互耦合的影響，極大提升了系統(tǒng)的健壯性，并且數(shù)據(jù)通道獨(dú)特的大規(guī)模并發(fā)處理機(jī)制，極大的降低了報文處理的時延，大大提升了用戶體驗(yàn)。以IPS2000-TS-N為例，IPS2000-TS-N是全球第一款可提供萬兆端口的IPS產(chǎn)品，即使在同時開啟其內(nèi)置的漏洞庫、病毒庫、協(xié)議庫后，性能依然可達(dá)萬兆線速，目前已成功部署于多個大型數(shù)據(jù)中心、園區(qū)出口。

漏洞庫的全面性、專業(yè)性、及時性是決定IPS能否有效防御的另一關(guān)鍵。迪普科技擁有專業(yè)的漏洞研究團(tuán)隊(duì)，不斷跟蹤其它知名安全組織和廠商發(fā)布的安全公告，并持續(xù)分析、挖掘、驗(yàn)證各種新型威脅和漏洞。迪普科技IPS漏洞庫以定期（每周）和緊急（當(dāng)重大安全漏洞被發(fā)現(xiàn)）兩種方式發(fā)布，并且能夠自動分發(fā)到用戶駐地的IPS中，從而使得用戶駐地的IPS在最快時間內(nèi)具備防御零時差攻擊（Zero-day Attack）的能力，最大程度的保護(hù)用戶安全。目前，迪普科技已成為中國國家漏洞庫的主要提供者之一。借助迪普科技專業(yè)漏洞研究團(tuán)隊(duì)的持續(xù)投入和漏洞庫的持續(xù)升級，不僅顯著提升了IPS的可用性，并極大減少了IPS誤報、漏報給用戶帶來的困擾。

IPS2000 N系列是目前全球唯一可提供萬兆線速處理能力的IPS產(chǎn)品，并在漏洞庫的基礎(chǔ)上，集成了卡巴斯基病毒庫和應(yīng)用協(xié)議庫，是針對系統(tǒng)漏洞、協(xié)議弱點(diǎn)、病毒蠕蟲、DDoS攻擊、網(wǎng)頁篡改、間諜軟件、惡意攻擊、流量異常等威脅的一體化應(yīng)用層深度防御平臺。IPS2000 N系列部署簡單、即插即用，配合應(yīng)用Bypass等高可靠性設(shè)計，可滿足各種復(fù)雜網(wǎng)絡(luò)環(huán)境對應(yīng)用層安全防護(hù)的高性能、高可靠和易管理的需求，是應(yīng)用層安全保障的最佳選擇。IPS2000-Blade業(yè)務(wù)板技術(shù)特點(diǎn)

? 業(yè)界最高端IPS，萬兆線速處理能力，特征庫增加不會造成性能下降 ? 管理平面與數(shù)據(jù)平面雙通道設(shè)計，極大提升了系統(tǒng)健壯性 ? 專業(yè)漏洞研究團(tuán)隊(duì)，是中國國家漏洞庫的主要提供者之一 ? 內(nèi)置專業(yè)防病毒引擎，病毒樣本十萬條以上，可防御各類病毒 ? 高效豐富的DDoS攻擊防護(hù)能力

? 實(shí)時的響應(yīng)方式：阻斷、限流、隔離、重定向、Email ? 掉電保護(hù)、應(yīng)用Bypass等高可靠性機(jī)制，確保IPS不會成為網(wǎng)絡(luò)故障點(diǎn) ? 靈活的部署模式：在線模式、監(jiān)聽模式、混合模式 ? 支持分布式管理 功能介紹

? 一體化安全防護(hù)

DPtechIPS2000-Blade入侵防御系統(tǒng)模塊直接嵌入在DPtech DPX A3/DPX A5/DPX A12系列深度業(yè)務(wù)交換網(wǎng)關(guān)，即可實(shí)現(xiàn)入侵防御功能，不改變原網(wǎng)絡(luò)的結(jié)構(gòu)，與網(wǎng)絡(luò)設(shè)備配合完成安全業(yè)務(wù)網(wǎng)關(guān)的工作，為用戶提供一體化的安全保護(hù)，降低了用戶首次和后續(xù)擴(kuò)容的投入成本。

? 入侵防御與檢測

支持緩沖溢出攻擊、蠕蟲、木馬、病毒、SQL注入、網(wǎng)頁篡改、惡意代碼、網(wǎng)絡(luò)釣魚、間諜軟件、DoS/DDoS、零日攻擊、流量異常等各種攻擊的防御。

? 病毒防范

內(nèi)置卡巴斯基病毒庫，支持10萬條以上病毒庫；支持防御文件型、網(wǎng)絡(luò)型和混合型等各類病毒；支持新一代虛擬脫殼和行為判斷技術(shù)，準(zhǔn)確查殺各種變種病毒、未知病毒。

? 流量控制

對迅雷、BT、eDonkey、eMule、網(wǎng)際快車、PPLive、QQLive、MSN、QQ等主流應(yīng)用流量進(jìn)行深度識別并進(jìn)行管控。

? DDos防護(hù)

支持SYN Flood、UDP Flood、ICMP Flood、DNS Query Flood、HTTP Get Flood、CC攻擊等DDoS攻擊防護(hù)

? 全面、及時的攻擊特征庫

攻擊特征庫是檢測引擎進(jìn)行攻擊檢測的依據(jù)，沒有完善的攻擊特征庫，再強(qiáng)大的檢測引擎也無法發(fā)揮作用，就像動力強(qiáng)勁的發(fā)動機(jī)沒有合適的、足夠的燃油一樣。DPtech公司多年的網(wǎng)絡(luò)技術(shù)與安全技術(shù)積累，造就了資深的攻擊特征庫團(tuán)隊(duì)和安全服務(wù)團(tuán)隊(duì)，建有攻防實(shí)驗(yàn)室，緊跟網(wǎng)絡(luò)技術(shù)與安全技術(shù)的發(fā)展前沿和網(wǎng)絡(luò)攻防的最新動態(tài)，定期更新并發(fā)布攻擊特征庫升級包，源源不斷地為強(qiáng)大的檢測引擎注入高質(zhì)量的燃油。

DPtech公司的攻擊特征庫具有如下特點(diǎn)：

1、覆蓋全面，包含了主流操作系統(tǒng)、主流網(wǎng)絡(luò)設(shè)備、主流數(shù)據(jù)庫系統(tǒng)、主流應(yīng)用軟件系統(tǒng)的全部漏洞特征，同時也包含了黑客、蠕蟲、病毒、木馬、DoS/DDoS、掃描、間諜軟件、網(wǎng)絡(luò)釣魚、P2P、IM、網(wǎng)游等網(wǎng)絡(luò)攻擊或網(wǎng)絡(luò)濫用特征；

2、更新及時，常規(guī)情況下每周進(jìn)行攻擊特征庫更新，緊急情況下24小時內(nèi)提供更新的攻擊特征庫；

3、攻擊特征庫與國際權(quán)威的漏洞庫CVE兼容；攻擊特征庫雖然兼容國際，但仍根植中國，更多關(guān)注國內(nèi)特有的網(wǎng)絡(luò)安全狀況，及時對國內(nèi)特有的攻擊提供防御；攻擊特征庫包含了與該攻擊相關(guān)的詳細(xì)描述，包括攻擊的目標(biāo)系統(tǒng)信息、攻擊的危害程度、攻擊的解決方法等；

4、攻擊特征分類合理、細(xì)致，易于查詢、易于歸類操作。? 實(shí)用、強(qiáng)大的業(yè)務(wù)增值功能

DPtechIPS2000-Blade入侵防御系統(tǒng)模塊除了能有效、實(shí)時地抵御網(wǎng)絡(luò)攻擊外，還提供了豐富實(shí)用的IPS之外的其他業(yè)務(wù)增值功能，如基于應(yīng)用的帶寬管理、URL過濾等，可為客戶帶去更多的業(yè)務(wù)體驗(yàn)、更高的性價比，從而使客戶獲得更高的投資收益率。? 基于應(yīng)用的帶寬管理

DPtechIPS2000-Blade入侵防御系統(tǒng)模塊的協(xié)議識別功能支持1000多種應(yīng)用協(xié)議的識別，在這個協(xié)議識別的基礎(chǔ)上，IPS模塊可以對各種應(yīng)用進(jìn)行靈活的帶寬控制，限制非關(guān)鍵應(yīng)用，并保證了客戶網(wǎng)絡(luò)上關(guān)鍵應(yīng)用的帶寬。? 客戶定制的URL過濾

DPtechIPS2000-Blade入侵防御系統(tǒng)模塊提供了URL過濾功能，客戶可自定義URL過濾規(guī)則實(shí)現(xiàn)對敏感網(wǎng)頁和網(wǎng)頁內(nèi)容進(jìn)行過濾，URL過濾規(guī)則支持正則表達(dá)式。? 安全技術(shù)與網(wǎng)絡(luò)的深度融合

DPtechIPS2000-Blade入侵防御系統(tǒng)模塊融合了豐富的網(wǎng)絡(luò)特性，支持MPLS、802.1Q、QinQ、GRE、PPPoE等網(wǎng)絡(luò)協(xié)議，可在各種復(fù)雜的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)透明接入組網(wǎng)。? 豐富的響應(yīng)方式

IPS在分析報文檢測到異常情況后，需要采取一個特定的響應(yīng)動作。DPtechIPS2000-Blade入侵防御系統(tǒng)模塊提供了豐富的響應(yīng)方式，包括阻斷、限流、TCP Reset、抓取原始報文、隔離、Email告警、Syslog上報、記本地日志等。各響應(yīng)方式可以相互組合，并且設(shè)備出廠內(nèi)置了一些常用的動作組合，以方便客戶使用。其中DPtech公司獨(dú)特設(shè)計的重定向和隔離響應(yīng)方式，不但能有效防止安全威脅在網(wǎng)絡(luò)上擴(kuò)散，而且還能及時通知有安全威脅的客戶端相關(guān)的安全事件。? 強(qiáng)大、靈活的管理功能

DPtechIPS2000-Blade入侵防御系統(tǒng)模塊提供了強(qiáng)大、靈活的管理功能，DPtech公司在設(shè)計IPS管理功能的時候既考慮了客戶單臺或小規(guī)模部署時的輕便管理系統(tǒng)設(shè)計，又考慮了客戶大規(guī)模部署時的集成管理系統(tǒng)設(shè)計。

1、完備、實(shí)用的單機(jī)管理

在單臺或小規(guī)模部署時，為了讓客戶節(jié)約設(shè)備成本和管理成本，DPtechIPS2000-Blade入侵防御系統(tǒng)模塊提供了單機(jī)的基于Web的圖形化管理系統(tǒng)，讓客戶不用單獨(dú)購買、部署額外的管理服務(wù)器硬件和管理軟件就能實(shí)現(xiàn)對IPS的圖形化管理。DPtechIPS2000-Blade入侵防御系統(tǒng)模塊的單機(jī)管理系統(tǒng)的功能雖然沒有它的集中管理系統(tǒng)強(qiáng)大，但是所有管理功能也是完備的，包括安全策略管理（如安全策略配置、下發(fā)等）、攻擊事件管理（如攻擊事件查詢、統(tǒng)計分析、報表等）、各種對象管理等。同時，DPtechIPS2000-Blade入侵防御系統(tǒng)模塊的單機(jī)管理系統(tǒng)界面友好，方便易用，客戶無需安裝專門的客戶端軟件，直接采用標(biāo)準(zhǔn)瀏覽器即可實(shí)現(xiàn)一目了然的圖形化管理。

2、強(qiáng)大的集中管理

在大規(guī)模部署時，為了讓客戶對全網(wǎng)網(wǎng)絡(luò)安全動態(tài)進(jìn)行統(tǒng)一的監(jiān)控，DPtechIPS2000-Blade入侵防御系統(tǒng)模塊提供了強(qiáng)大的集中管理系統(tǒng)，客戶通過集中管理系統(tǒng)可以在全網(wǎng)范圍內(nèi)制定統(tǒng)一的安全策略，方便地分發(fā)到各地的IPS設(shè)備上，同時各地的IPS設(shè)備上產(chǎn)生的攻擊事件可以集中上報到集中管理中心，管理中心對全網(wǎng)范圍內(nèi)的安全事件進(jìn)行集中的統(tǒng)計分析，并提供各種直觀、詳細(xì)的報表，在全景式的分析報表中，客戶可以輕松地看到整網(wǎng)過去的安全狀況和未來的安全趨勢 Web應(yīng)用安全防護(hù)

通過我司W(wǎng)EB應(yīng)用防火墻WAF3000業(yè)務(wù)板塊的部署，在web服務(wù)器前端的部署，完成對***大學(xué)WEB網(wǎng)站主動、被動相結(jié)合的安全防護(hù)。

隨著市場需求以及產(chǎn)業(yè)的發(fā)展，互聯(lián)網(wǎng)已邁進(jìn)Web應(yīng)用時代。如今，Web業(yè)務(wù)平臺已經(jīng)在企業(yè)信息化中得到廣泛應(yīng)用，很多企業(yè)都將應(yīng)用架設(shè)在Web平臺上，在通過瀏覽器方式實(shí)現(xiàn)展現(xiàn)與交互的同時，用戶的業(yè)務(wù)系統(tǒng)所受到的威脅也隨之而來，并且隨著業(yè)務(wù)系統(tǒng)的復(fù)雜化及互聯(lián)網(wǎng)環(huán)境的變化，所受威脅也在飛速增長。Web業(yè)務(wù)的迅速發(fā)展同時引起了黑客們的強(qiáng)烈關(guān)注，他們將注意力從以往對傳統(tǒng)網(wǎng)絡(luò)服務(wù)器的攻擊逐步轉(zhuǎn)移到了對 Web 業(yè)務(wù)的攻擊上。

近幾年，國內(nèi)因?yàn)閃eb安全漏洞引發(fā)的安全事件常有發(fā)生，從政府網(wǎng)站、到互動社區(qū)，都受到來自黑客的攻擊，攻擊事件造成的經(jīng)濟(jì)損失及影響極大。企業(yè)在向客戶提供通過瀏覽器訪問企業(yè)信息功能的同時，企業(yè)所面臨的風(fēng)險在不斷增加。隨著Web應(yīng)用程序的增多和網(wǎng)絡(luò)技術(shù)的發(fā)展，Web應(yīng)用所帶來的安全漏洞越來越多，同時，被用來進(jìn)行攻擊的黑客攻擊也越來越多，伴隨而來的是在經(jīng)濟(jì)利益的驅(qū)動下，黑客活動主要表現(xiàn)在兩個層面：一是隨著Web應(yīng)用程序的增多，這些Web應(yīng)用程序所帶來的安全漏洞越來越多；二是隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，被用來進(jìn)行攻擊的黑客工具越來越多、黑客活動越來越猖獗，組織性和經(jīng)濟(jì)利益驅(qū)動非常明顯。

傳統(tǒng)防火墻、入侵檢測等安全類產(chǎn)品主要是針對鏈路層、網(wǎng)絡(luò)層信息進(jìn)行威脅識別，然而，從近幾年網(wǎng)站篡改的大量案例來看，攻擊過程所包含的信息內(nèi)容在鏈路層、網(wǎng)絡(luò)層都是合法的，問題其實(shí)主要出現(xiàn)在應(yīng)用層面，因此傳統(tǒng)的安全防護(hù)體系對此類攻擊的防范效果不甚理想。需要應(yīng)用層安全防護(hù)硬件產(chǎn)品解決方案來實(shí)現(xiàn)整體網(wǎng)站防護(hù)。

Web安全問題本質(zhì)上是軟件代碼質(zhì)量問題。但web應(yīng)用較傳統(tǒng)的軟件，具有其特性。Web應(yīng)用大多需要頻繁的變更以滿足新業(yè)務(wù)的需求，而開發(fā)人員往往只注重業(yè)務(wù)的可行性，而忽略安全性的考慮。理想的情況是軟件開發(fā)人員能夠按照安全的編碼原則進(jìn)行Web開發(fā)，但對于這些已經(jīng)上線，正提供對外業(yè)務(wù)的Web應(yīng)用，因整改代碼代價過大而較難實(shí)行。針對這種問題，Web應(yīng)用防火墻應(yīng)運(yùn)而生。它不同于傳統(tǒng)的安全設(shè)備如IPS，防火墻，只針對L4層進(jìn)行檢測，而針對Web的攻擊大多是在L7應(yīng)用層發(fā)生的。Web應(yīng)用防火墻通過對HTTP流量的雙向分析，為WEB應(yīng)用提供實(shí)時的防護(hù)。

通過應(yīng)用層安全設(shè)備（迪普科技的WAF）可以實(shí)現(xiàn)基于網(wǎng)關(guān)的防護(hù)，將網(wǎng)絡(luò)中各種威脅流量清除。同時，為避免各種直接連接到、繞過網(wǎng)關(guān)防御而到達(dá)網(wǎng)站服務(wù)器的攻擊，則需要通過基于服務(wù)器的軟件產(chǎn)品進(jìn)行防護(hù)，這個軟件系統(tǒng)就是杭州迪普科技有限公司推出的DPtech WebShield網(wǎng)站防護(hù)系統(tǒng)（以下簡稱：系統(tǒng)）。

WAF300-Blade業(yè)務(wù)板技術(shù)特點(diǎn)

? 先進(jìn)的多核硬件架構(gòu)，實(shí)現(xiàn)高性能的安全防護(hù) ? 漏洞防護(hù)：SQL注入、跨站腳本攻擊、會話劫持 ? 流量優(yōu)化：負(fù)載均衡、WEB加速、SSL卸載 ? HTTP協(xié)議加固、網(wǎng)頁防惡意篡改 ? 應(yīng)用層DDoS攻擊防御 ? 冗余電源、無縫接入等高可靠性

迪普科技推出了基于全新多核處理器硬件架構(gòu)的DPtech WAF3000系列Web應(yīng)用防火墻產(chǎn)品。WAF3000系列產(chǎn)品是迪普科技面向企業(yè)、政府、運(yùn)營商等各行業(yè)用戶開發(fā)的新一代網(wǎng)絡(luò)安全防護(hù)設(shè)備，能夠有效抵御包括SQL注入、跨站腳本攻擊、會話劫持、應(yīng)用層DDoS、網(wǎng)頁篡改在內(nèi)的各種高危害性Web攻擊。同時，WAF3000產(chǎn)品還具有強(qiáng)大的Web流量優(yōu)化和負(fù)載均衡等功能，可對大型服務(wù)器進(jìn)行流量整形、Web加速、SSL卸載等功能，是集Web攻擊防御、協(xié)議加固、流量優(yōu)化于一體的全面Web網(wǎng)絡(luò)安全防護(hù)設(shè)備。

Web攻擊手段層出不窮，因此Web應(yīng)用防火墻需要具備及時防御和升級的能力，DPtech WAF3000產(chǎn)品可通過持續(xù)不斷地更新，使用戶在最快的時間內(nèi)獲得最新的特征庫，確保為用戶提供最安全及時的Web應(yīng)用防護(hù)。功能介紹

全方位Web防護(hù)功能 ? 參數(shù)攻擊防護(hù)

OWASP最新的“Web應(yīng)用十大安全風(fēng)險”中，前兩位分別是注入攻擊和XSS(跨站式腳本攻擊)，這兩種攻擊方式均是與HTTP請求參數(shù)密切相關(guān)的。參數(shù)攻擊防護(hù)的重要性可見一斑。

? Sql注入攻擊防護(hù)

Sql注入往往是應(yīng)用程序缺少對輸入進(jìn)行安全檢查所引起的，攻擊者把一些包含sql指令的數(shù)據(jù)發(fā)送給解釋器，解釋器會把收到的數(shù)據(jù)轉(zhuǎn)換成指令執(zhí)行。這種攻擊所造成的后果往往很大，一般整個數(shù)據(jù)庫的的信息都能被讀取或篡改，通過SQL注入，攻擊者甚至能夠獲得更多的包括管理員的權(quán)限。DPtech WAF3000支持對GET POST COOKIE注入檢測。對風(fēng)險語句進(jìn)行告警和阻斷，防止惡意請求對數(shù)據(jù)進(jìn)行篡改。

? Xss攻擊防護(hù)

XSS指的是惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達(dá)到惡意用戶的特殊目的。DPtech-WAF3000設(shè)備能夠?qū)τ脩籼峤坏臄?shù)據(jù)進(jìn)行檢測，阻斷含有惡意腳本的請求。

? 命令注入防護(hù)

隨著web服務(wù)器平臺的迅速發(fā)展，它們已經(jīng)能夠使用內(nèi)置的API與服務(wù)器的操作系統(tǒng)進(jìn)行幾乎任何必須得交互。如果正確使用，這些API可以幫助開發(fā)者訪問文件系統(tǒng)、連接其他進(jìn)程、進(jìn)行安全的網(wǎng)絡(luò)通信。但是有時候開發(fā)者往往直接向服務(wù)器發(fā)送操作系統(tǒng)命令。但是，如果向操作系統(tǒng)命令傳入用戶提交的輸入，就很有可能受到命令注入攻擊，使得統(tǒng)計者能夠提交專門設(shè)計的輸入，修改開發(fā)者想要執(zhí)行的命令。WAF可以通過屏蔽各種操作系統(tǒng)命令，設(shè)定系統(tǒng)參數(shù)長度，阻斷元字符等方式阻止黑客進(jìn)行各種命令注入攻擊。

? 目錄遍歷攻擊

現(xiàn)在許多web功能強(qiáng)迫應(yīng)用程序根據(jù)用戶在請求中提交的參數(shù)向文件系統(tǒng)讀取或?qū)懭霐?shù)據(jù)。如果不以安全的方式執(zhí)行這些操作，攻擊者就可以提交專門設(shè)計的輸入，使得應(yīng)用程序訪問開發(fā)者并不希望它訪問的文件，這稱之為目錄遍歷漏洞。攻擊者可以利用這種缺陷讀取秘密和程序日志等敏感信息，修改配置文件和軟件代碼。WAF能夠通過智能分析請求目錄異常行為，對惡意訪問行為進(jìn)行阻斷。

? Web常規(guī)攻擊

DPtech-WAF3000能夠?qū)χT如遠(yuǎn)程包含，遠(yuǎn)程數(shù)據(jù)寫入，等上千種常規(guī)ips攻擊進(jìn)行識別，阻斷。

? HTTP協(xié)議攻擊防護(hù)

? HTTP請求正規(guī)化檢查

通過對HTTP協(xié)議請求方法，版本，等協(xié)議格式進(jìn)行正規(guī)化校驗(yàn)，避免出現(xiàn)諸如拆分攻擊等通過協(xié)議盲點(diǎn)進(jìn)行惡意攻擊。

? Cookie正規(guī)化檢查

通過對請求中Cookie 中的SESSION進(jìn)行校驗(yàn)，防止通過畸形SESSION竊取服務(wù)器中用戶私有信息。

? 緩沖區(qū)溢出攻擊防護(hù)

緩沖區(qū)溢出是指當(dāng)計算機(jī)向緩沖區(qū)內(nèi)填充數(shù)據(jù)位數(shù)時超過了緩沖區(qū)本身的容量溢出的數(shù)據(jù)覆蓋在合法數(shù)據(jù)上,理想的情況是程序檢查數(shù)據(jù)長度并不允許輸入超過緩沖區(qū)長度的字符,但是絕大多數(shù)程序都會假設(shè)數(shù)據(jù)長度總是與所分配的儲存空間相匹配,這就為緩沖區(qū)溢出埋下隱患。DPtech WAF3000系列產(chǎn)品能夠?qū)TTP請求行和請求頭雙向流進(jìn)行檢測，通過特征檢測和閾值阻斷來保護(hù)Web服務(wù)器正常運(yùn)作。? 應(yīng)用層DOS攻擊防護(hù)

DDOS，分布式拒絕服務(wù)攻擊.很多DoS攻擊源一起攻擊某臺服務(wù)器就組成了DDOS攻擊.，而應(yīng)用層DDOS又有其特有的屬性，通過對HTTP請求進(jìn)行限制保護(hù)能夠有效阻止DOS攻擊。DPtech WAF3000系列產(chǎn)品支持SYN flood，HTTP flood，XML DOS等常見DOS攻擊。

? 多種策略防護(hù)方式

DPtech WAF3000系列產(chǎn)品支持多種策略防護(hù)方式：

? url黑白名單策略防護(hù)

通過url黑白名單可以對特定用戶限定其訪問路徑范圍。對部分網(wǎng)頁進(jìn)行保護(hù)。

? usr-agent黑白名單策略防護(hù)

能夠通過跟蹤用戶信息字段，阻斷非法用戶請求。

? 用戶請求細(xì)粒化配置防護(hù)

能夠限定包括用戶請求方法，參數(shù)范圍、長度，請求報頭長度，提交數(shù)據(jù)長度，還可以通過配置正則表達(dá)式對請求url參數(shù)進(jìn)行正規(guī)化限制。通過以上細(xì)?；渲每梢杂行Ц?，防護(hù)各種攻擊方式。? 會話劫持防護(hù)

會話劫持是指通過仿冒客戶session獲取用戶權(quán)限并進(jìn)行一系列危害用戶的行為。WAF支持加密，摘要和重放保護(hù)機(jī)制防止攻擊者通過會話劫持竊取和篡改服務(wù)器中的用戶信息等行為。

? 敏感關(guān)鍵詞過濾及服務(wù)器信息防護(hù)

? 非法關(guān)鍵字過濾

通過配置能夠隱藏或阻斷用戶提交信息或網(wǎng)頁中包含的敏感關(guān)鍵詞，防止非法內(nèi)容發(fā)布。

? 爬蟲行為智能過濾

能夠?qū)υL問服務(wù)器的爬蟲進(jìn)行分類阻斷，防止爬蟲消耗大量服務(wù)器資源。

? 服務(wù)器敏感信息防護(hù)

能夠過濾服務(wù)器側(cè)的基本信息，諸如服務(wù)器版本號，應(yīng)用類型等易被黑客利用的信息。

? 服務(wù)器錯誤信息替換

對服務(wù)器的錯誤信息返回進(jìn)行過濾，防止攻擊者搜集服務(wù)器錯誤信息。做到對攻擊的“事前”防護(hù)。

? 關(guān)鍵文件防護(hù)

能夠?qū)﹃P(guān)鍵文件下載進(jìn)行阻斷。防止黑客通過搜集服務(wù)器殘留的測試腳本，目錄文件，殘舊數(shù)據(jù)庫分析服務(wù)器漏洞或竊取用戶信息。

? 惡意文件上傳防護(hù)

通過對上傳文件檢查，防止黑客通過繞過認(rèn)證等限制上傳木馬，病毒等惡意行為。負(fù)載均衡功能

? 豐富的負(fù)載均衡調(diào)度算法

調(diào)度算法指對需要負(fù)載均衡的流量，按照一定的策略分發(fā)到指定的服務(wù)器群中的服務(wù)器或指定鏈路組的某條鏈路上，使得各臺服務(wù)器盡可能地保持負(fù)載均衡。調(diào)度算法以連接為粒度，同一條連接的所有報文都會分發(fā)到同一個服務(wù)器上。這種細(xì)粒度的調(diào)度在一定程度上可以避免單個用戶訪問的突發(fā)性引起服務(wù)器間的負(fù)載不平衡。

負(fù)載均衡技術(shù)持豐富的負(fù)載均衡調(diào)度算法。不同調(diào)度算法所實(shí)現(xiàn)的負(fù)載均衡效果不同，可以需要根據(jù)具體的應(yīng)用場景，采用不同的算法。? 靜態(tài)調(diào)度算法

靜態(tài)算法，即按照預(yù)先設(shè)定策略，進(jìn)行分發(fā)，不考慮當(dāng)前各實(shí)服務(wù)的實(shí)際負(fù)載情況。算法特點(diǎn)：實(shí)現(xiàn)簡單，調(diào)度快捷。

? 輪轉(zhuǎn)（Round Robin Scheduling）

依次將請求分發(fā)到不同的服務(wù)器上，使得各個真實(shí)服務(wù)器平均分擔(dān)用戶的連接請求。如：實(shí)服務(wù)群中包含三個實(shí)服務(wù)A、B、C，假設(shè)各實(shí)服務(wù)均未達(dá)到連接上限，最后分發(fā)給A、B、C的連接數(shù)之比為1：1：1。

適用場景：服務(wù)器集群中各服務(wù)器性能相當(dāng)，無優(yōu)劣之分。? 加權(quán)輪轉(zhuǎn)（Weighted Round Robin Scheduling）

按照權(quán)值大小，依次將請求分發(fā)到不同的服務(wù)器上，權(quán)值大的分配較多請求，權(quán)值小的分配較少請求。該算法可以解決服務(wù)器間性能間帶寬不一的問題，權(quán)值標(biāo)識服務(wù)器間性能差異。

如：實(shí)服務(wù)組中包含三個實(shí)服務(wù)A、B、C，其配置權(quán)值分別為：4、3、2。假設(shè)各實(shí)服務(wù)均未達(dá)到連接上限，最后分發(fā)給A、B、C的連接數(shù)之比為4：3：2。

適用場景：服務(wù)器集群中各服務(wù)器性能存在差異。

? 隨機(jī)（Random Scheduling）

將請求隨機(jī)分發(fā)到不同的服務(wù)器上。從統(tǒng)計學(xué)角度看，調(diào)度結(jié)果為各個服務(wù)器平均分擔(dān)用戶的連接請求。

適用場景：服務(wù)器集群中各服務(wù)器性能相當(dāng)，無優(yōu)劣之分。

? 加權(quán)隨機(jī)（Weighted Random Scheduling）

將請求隨機(jī)分發(fā)到不同的服務(wù)器上。從統(tǒng)計學(xué)角度看，調(diào)度結(jié)果為各個服務(wù)器按照權(quán)值比重分擔(dān)用戶的連接請求，最后的比值和加權(quán)輪轉(zhuǎn)一致。

適用場景：服務(wù)器集群中各服務(wù)器性能存在差異。

? 基于源IP的Hash（Source IP Hashing Scheduling）

通過一個散列（Hash）函數(shù)將來自同一個源IP的請求映射到一臺服務(wù)器上。適用場景：需要保證來自同一個用戶的請求分發(fā)到同一個服務(wù)器。

? 基于源IP端口的Hash（Source IP and Source Port Hashing Scheduling）

通過一個散列函數(shù)將來自同一個源IP和源端口號的請求映射到一臺服務(wù)器上。適用場景：需要保證來自同一個用戶同一個業(yè)務(wù)的請求分發(fā)到同一臺服務(wù)器。

? 基于目的IP的Hash（Destination IP Hashing Scheduling）

通過一個散列函數(shù)將去往同一個目的IP的請求映射到一臺服務(wù)器上。

適用場景：需要保證到達(dá)同一個目的地的請求分發(fā)到同一臺服務(wù)器。適用于網(wǎng)關(guān)負(fù)載均衡和鏈路負(fù)載均衡。? 動態(tài)調(diào)度算法

相對于靜態(tài)算法，動態(tài)算法根據(jù)各實(shí)服務(wù)實(shí)際運(yùn)行中的負(fù)載情況進(jìn)行連接分發(fā)，分發(fā)效果更均衡。

? 最小連接（Least Connection Scheduling）

負(fù)載均衡設(shè)備根據(jù)當(dāng)前各服務(wù)器的連接數(shù)來估計服務(wù)器的負(fù)載情況，把新的連接分配給連接數(shù)最小的服務(wù)器。該算法能把負(fù)載差異較大（連接保持時長差異較大）的請求平滑分發(fā)到各個服務(wù)器上。

適用場景：服務(wù)器集群中各服務(wù)器性能相當(dāng)，無優(yōu)劣之分，不同用戶發(fā)起的連接保存時長差異較大。

? 加權(quán)最小連接（Weighted Connection Scheduling）

調(diào)度新連接時盡可能使服務(wù)器的已建立活動連接數(shù)和服務(wù)器權(quán)值成比例，權(quán)值表明了服務(wù)器處理性能。

適用場景：服務(wù)器集群中各服務(wù)器性能存在差異，不同用戶發(fā)起的連接保存時長差異較大。

? 豐富的健康性檢測方法

所謂健康檢測，就是負(fù)載均衡設(shè)備定期對真實(shí)服務(wù)器狀態(tài)進(jìn)行探測，收集相應(yīng)信息，及時隔離工作異常的服務(wù)器。健康檢測的結(jié)果除標(biāo)識服務(wù)器能否工作外，還可以統(tǒng)計出服務(wù)器的響應(yīng)時間，作為選擇服務(wù)器的依據(jù)。

負(fù)載均衡技術(shù)支持豐富的健康性檢測方法，可以有效地探測和檢查服務(wù)器的運(yùn)行狀態(tài)。

? ICMP 向服務(wù)器集群中的服務(wù)器發(fā)送ICMP Echo報文，若收到ICMP Reply，則服務(wù)器正常。

? TCP 向服務(wù)器集群中服務(wù)器的某端口發(fā)起TCP連接建立請求，若成功建立TCP連接，則服務(wù)器正常。

? HTTP 與服務(wù)器集群中服務(wù)器的HTTP端口（默認(rèn)情況為80）建立TCP連接，然后發(fā)出HTTP請求，若收到的HTTP應(yīng)答內(nèi)容正確，則服務(wù)器正常。? 持續(xù)性功能

一次業(yè)務(wù)交互可能包括多個TCP連接，如FTP應(yīng)用（包含一個控制通道和多個數(shù)據(jù)通道）和HTTP應(yīng)用。這些TCP連接間有些存在顯式關(guān)聯(lián)關(guān)系，如FTP應(yīng)用，數(shù)據(jù)通道的TCP連接是通過控制通道協(xié)商得來的。有些存在隱含的關(guān)聯(lián)關(guān)系，如HTTP網(wǎng)絡(luò)購物，多條連接組成一次業(yè)務(wù)應(yīng)用，且多個連接并不像FTP應(yīng)用一樣有“父子”之分，能通過父通道獲取子通道信息，但所有該業(yè)務(wù)的請求應(yīng)發(fā)給同一服務(wù)器,否則可能造成無法完成所請求的功能，因?yàn)槠鋽?shù)據(jù)報文中攜帶隱含關(guān)聯(lián)信息，如cookie。

將屬于同一個應(yīng)用層會話的多個連接定向到同一服務(wù)器的功能，就是持續(xù)性功能。根據(jù)持續(xù)性原則，建立會話表項(xiàng)，保證后續(xù)業(yè)務(wù)報文都送往同一個服務(wù)器處理。比如使用源地址建立持續(xù)性表項(xiàng)，保證持續(xù)性。? 具有顯式關(guān)聯(lián)關(guān)系持續(xù)性功能

如前所述，F(xiàn)TP應(yīng)用的多條TCP連接之間具有顯式關(guān)聯(lián)關(guān)系：子通道五元組是通過父通道協(xié)商得來的。因此負(fù)載均衡設(shè)備對于FTP應(yīng)用會逐包分析父通道報文，一旦發(fā)現(xiàn)子通道協(xié)商信息，就會利用該信息建立父通道會話關(guān)聯(lián)表項(xiàng)，當(dāng)子通道首報文到來時，根據(jù)關(guān)聯(lián)表項(xiàng)和父會話表項(xiàng)建立完整的會話表項(xiàng)，從而保證父子通道登錄同一臺服務(wù)器。顯式關(guān)聯(lián)關(guān)系由負(fù)載均衡設(shè)備自動識別，無需配置策略。

? 具有隱式關(guān)聯(lián)關(guān)系持續(xù)性功能：

1、基于源IP地址的持續(xù)性功能

基于源IP地址的持續(xù)性功能常用于服務(wù)器負(fù)載均衡應(yīng)用中，用以確保同一個客戶端的業(yè)務(wù)能分配到同一個服務(wù)器中。

負(fù)載均衡設(shè)備接收到某一客戶端的某一業(yè)務(wù)的首次請求時，建立持續(xù)性表項(xiàng)，記錄為該客戶分配的服務(wù)器情況，在會話表項(xiàng)生存周期內(nèi)，后續(xù)相同源IP地址的業(yè)務(wù)報文都將發(fā)往該服務(wù)器處理。

2、基于目的IP地址的持續(xù)性功能

基于目的IP地址的持續(xù)性功能常用于鏈路負(fù)載均衡應(yīng)用中，用以確保去往同一個目的地址的業(yè)務(wù)能分配到同一條鏈路上。

負(fù)載均衡設(shè)備接收到某一客戶端的某一業(yè)務(wù)的首次請求時，建立持續(xù)性表項(xiàng)，記錄為該客戶分配的鏈路情況，在會話表項(xiàng)生存周期內(nèi)，后續(xù)相同目的IP地址的業(yè)務(wù)報文都將分發(fā)到該鏈路轉(zhuǎn)發(fā)。

? 基于Cookie和header的持續(xù)性功能常用于web服務(wù)器需要用戶攜帶私有信息或某些特定信息的服務(wù)器負(fù)載均衡應(yīng)用中，用來確保同一個用戶能夠去往同一個目的地址。Cookie支持4種持續(xù)性方式，包括插入模式，重寫模式，被動模式，HASH模式。

? 4~7層的負(fù)載均衡

基于第四層（L4）的負(fù)載均衡在截取數(shù)據(jù)流以后，對數(shù)據(jù)包檢查與分析的部分僅限于IP報頭及TCP/UDP報頭，而不關(guān)心TCP或UDP包的內(nèi)部信息。而基于L7的負(fù)載均衡則要求負(fù)載均衡設(shè)備除了支持L4負(fù)載均衡以外，還要解析數(shù)據(jù)包中4層以上的信息，即應(yīng)用層的信息。例如，可以解析HTTP協(xié)議，從數(shù)據(jù)包中提取出HTTP URL或Cookie信息。

L7負(fù)載均衡控制應(yīng)用層服務(wù)的內(nèi)容，提供了一種對訪問流量的高層控制方式。與L4負(fù)載均衡相比，L7負(fù)載均衡具有如下優(yōu)點(diǎn)： ? 通過對HTTP報頭的檢查，可以檢測出HTTP400、500和600系列的錯誤信息，因而能透明地將連接請求重新定向到另一臺服務(wù)器，避免應(yīng)用層故障。

? 可根據(jù)數(shù)據(jù)包內(nèi)容（如判斷數(shù)據(jù)包是圖像文件、壓縮文件或多媒體文件格式等），把數(shù)據(jù)流量引向相應(yīng)內(nèi)容的服務(wù)器來處理，增加系統(tǒng)性能。

? 可根據(jù)連接請求的數(shù)據(jù)類型（比如根據(jù)URL來區(qū)分是請求普通文本、圖象等靜態(tài)文檔，還是請求ASP、CGI等動態(tài)文檔），把相應(yīng)的請求引向相應(yīng)的服務(wù)器來處理，提高系統(tǒng)的性能及安全性。

由于L7負(fù)載均衡對應(yīng)用層協(xié)議進(jìn)行深度識別，因此，對于每種應(yīng)用層協(xié)議都需要有獨(dú)立的識別機(jī)制，這大大限制了L7負(fù)載均衡的應(yīng)用擴(kuò)展性，一般只是針對HTTP進(jìn)行負(fù)載均衡。同時，深度識別應(yīng)用層協(xié)議，對系統(tǒng)性能也會有很大影響。

流量優(yōu)化功能

? HTTP緩存技術(shù)

支持HTTP緩存

DPtech WAF3000采用多級cache智能緩存加速技術(shù)，支持多種緩存置換算法：

? ? ? ? LRU（最近最少使用次數(shù)）

LRU_DA（動態(tài)衰減最近最少使用次數(shù)）LFU（最近最少使用頻率）

LFU_DA（動態(tài)衰減最近最少使用頻率）

? 傳統(tǒng)緩存加速技術(shù)

對諸如html，js，jpg等靜態(tài)資源進(jìn)行緩存同時也可以對jsp等動態(tài)資源進(jìn)行緩存處理，提高客戶端響應(yīng)速度，降低服務(wù)器負(fù)載，有效節(jié)省服務(wù)器系統(tǒng)資源消耗。

? 智能緩存加速技術(shù)

采用新型的緩存加速技術(shù)，通過修改響應(yīng)報文內(nèi)容，對web資源屬性進(jìn)行重組，減少客戶端請求次數(shù)，提高客戶端請求效率。

連接復(fù)用功能

將客戶端的多個連接合并為與服務(wù)器的一個連接來進(jìn)行通信，減少TCP連接的三次握手次數(shù)，提高實(shí)際有效數(shù)據(jù)的交換比率。同時連接復(fù)用功能還將Web流量的多個短連接合并為一個長連接，提高服務(wù)器的響應(yīng)速度，改善服務(wù)器的性能。在不需要改變?nèi)魏尉W(wǎng)絡(luò)構(gòu)造也不需要改變?nèi)魏畏?wù)器構(gòu)造前提下總體上實(shí)現(xiàn)減輕服務(wù)器的負(fù)荷，提高服務(wù)器的響應(yīng)能力的目標(biāo)。

根據(jù)用戶對服務(wù)器負(fù)荷和響應(yīng)能力的協(xié)調(diào)，配置不同的復(fù)用比例，以達(dá)最佳的服務(wù)器總體性能。例如：復(fù)用比例配置成10：1時，對于實(shí)服務(wù)器的TCP三次握手次數(shù)變成原來的1/10，理論上服務(wù)器的負(fù)荷也減輕到原來的1/10，客戶端的連接平均響應(yīng)時間因?yàn)門CP三次握手次數(shù)的減少而減少；復(fù)用比例配置成20：1時，客戶端的連接平均響應(yīng)時間的減少量則會因?yàn)閺?fù)用比例的增加而有所上升，但對于實(shí)服務(wù)器的TCP三次握手次數(shù)變成原來的1/20，理論上服務(wù)器的負(fù)荷也減輕到原來的1/20。

HTTP壓縮功能

采用通用的gzip格式，代替WEB服務(wù)器對靜態(tài)資源進(jìn)行壓縮。gzip使用deflate壓縮算法，即先用lz77算法進(jìn)行壓縮，對得到的結(jié)果再用huffman編碼的方法進(jìn)行壓縮。gzip格式壓縮比例高，能夠有效提高服務(wù)器的響應(yīng)速度，減輕服務(wù)器的負(fù)荷，節(jié)省用戶帶寬，縮短用戶下載內(nèi)容的時間，從而提高網(wǎng)站訪問的響應(yīng)質(zhì)量。

SSL代理

提供硬件ssl代理加密功能，web服務(wù)器需要開放http協(xié)議端口，并將證書導(dǎo)入到WAF中，用戶即可通過訪問設(shè)備的443端口達(dá)到對HTTP數(shù)據(jù)流的加密。鏈路和系統(tǒng)服務(wù)優(yōu)化及DNS智能解析（負(fù)載均衡）

通過我司負(fù)載均衡設(shè)備ADX3000業(yè)務(wù)板及盒式設(shè)備在內(nèi)部系統(tǒng)出口的部署，完成以下功能：

一、鏈路負(fù)載：

1、inbond：根據(jù)訪問源所屬運(yùn)營商，通過DNS智能解析將訪問反饋數(shù)據(jù)發(fā)送到對應(yīng)運(yùn)營商鏈路，提高用戶體驗(yàn)。

2、outbond：由于***大學(xué)現(xiàn)網(wǎng)擁有多條出口鏈路，為了使客戶帶寬資源利用率提高，以及優(yōu)化Internet訪問，需要根據(jù)訪問目的IP、域名DNS解析地址等等對出口鏈路進(jìn)行負(fù)載均衡。

二、服務(wù)器負(fù)載：由于***大學(xué)內(nèi)外系統(tǒng)平臺的訪問頻繁及高流量、高峰值的特性，所以需要對系統(tǒng)服務(wù)器群進(jìn)行訪問優(yōu)化，根據(jù)每臺服務(wù)器實(shí)時性能狀態(tài)、資源耗用率，鏈路質(zhì)量等等因素對業(yè)務(wù)系統(tǒng)進(jìn)行負(fù)載均衡。

三、提供DNS解析服務(wù)：根據(jù)不同運(yùn)營商訪問源解析相對應(yīng)運(yùn)營商域名對應(yīng)的IP地址并反饋，同時為訪問學(xué)校對外系統(tǒng)的內(nèi)網(wǎng)用戶（師生）解析域名內(nèi)部地址，優(yōu)化內(nèi)網(wǎng)用戶訪問對外系統(tǒng)時的訪問路徑（直接通過內(nèi)網(wǎng)訪問）。

隨著數(shù)據(jù)中心及互聯(lián)網(wǎng)應(yīng)用的不斷發(fā)展，人們發(fā)現(xiàn)即使網(wǎng)絡(luò)基礎(chǔ)設(shè)施再好，例如萬兆交換、千兆路由、光纖布線，都會或多或少地出現(xiàn)關(guān)鍵應(yīng)用訪問速度慢、穩(wěn)定性差等問題，過去的解決方法一般是通過4層負(fù)載均衡設(shè)備對網(wǎng)絡(luò)出口鏈路和數(shù)據(jù)中心進(jìn)行流量管理和服務(wù)分擔(dān)。然而隨著網(wǎng)絡(luò)應(yīng)用的日益復(fù)雜，Web2.0、VoIP、流媒體、SSL等新應(yīng)用的不斷增多，由于傳統(tǒng)的4層負(fù)載均衡設(shè)備主要關(guān)注于網(wǎng)絡(luò)層面的網(wǎng)絡(luò)穩(wěn)定保障，并未關(guān)注整個應(yīng)用層面的交付過程，因此無法為用戶提供全面快速、可用、安全的應(yīng)用交付能力支撐。

DPtech ADX3000系列應(yīng)用交付平臺是傳統(tǒng)的4層負(fù)載均衡的升級、擴(kuò)展，是集成了負(fù)載平衡、應(yīng)用優(yōu)化、安全防護(hù)等技術(shù)于一體的綜合應(yīng)用交付平臺。它通過數(shù)十種健康檢查和負(fù)載均衡調(diào)度算法，將客戶端的訪問請求合理地分發(fā)到數(shù)據(jù)中心的各臺服務(wù)器上，以保證數(shù)據(jù)中心的響應(yīng)速度和業(yè)務(wù)連續(xù)性，并大大提升服務(wù)器的使用效率和彈性伸縮能力；通過靜態(tài)表項(xiàng)匹配及動態(tài)鏈路檢測等技術(shù)，對多條鏈路狀態(tài)進(jìn)行實(shí)時的探測和監(jiān)控，確保流量以最合理及快速的方式分發(fā)到不同鏈路上，實(shí)現(xiàn)業(yè)務(wù)的高效傳輸；通過TCP優(yōu)化、TCP復(fù)用、SSL卸載/加速、壓縮、緩存等技術(shù)，來提高用戶的訪問速度和應(yīng)用體驗(yàn)；通過DDoS防護(hù)等安全技術(shù)，確保數(shù)據(jù)中心業(yè)務(wù)的持續(xù)可用；支持路由、高密千兆及萬兆端口，并支持NAT、DR、鏈路、三明治等組網(wǎng)模式，組網(wǎng)及管理靈活、簡單。

ADX3000系列消除了網(wǎng)絡(luò)和應(yīng)用之間的割裂，滿足了用戶規(guī)模不斷擴(kuò)大和對應(yīng)用服務(wù)提出的更高要求，使用戶的訪問速度、訪問安全以及7×24不間斷的穩(wěn)定性得到大大提高，并大大降低運(yùn)營成本。ADX3000系列是業(yè)界第一款100G應(yīng)用交付平臺，具有處理能力強(qiáng)、應(yīng)用交付能力全面、接口密度豐富等優(yōu)點(diǎn)，可應(yīng)用于各行業(yè)和運(yùn)營商的數(shù)據(jù)中心和網(wǎng)絡(luò)出口，提供服務(wù)的可靠性、提高服務(wù)的響應(yīng)速度、方便業(yè)務(wù)靈活擴(kuò)展等最佳的業(yè)務(wù)價值。

ADX3000-Blade業(yè)務(wù)板技術(shù)特點(diǎn)

? 業(yè)界第一款100G應(yīng)用交付平臺。高性能APP-X硬件平臺，確保盒式設(shè)備最大可提供萬兆級應(yīng)用交付能力；機(jī)架式設(shè)備最大可提供100G應(yīng)用交付能力，可以在原有業(yè)務(wù)不中斷的情況下，通過增加ADX業(yè)務(wù)模塊的方式實(shí)現(xiàn)快速、平滑的擴(kuò)容 ? 全面應(yīng)用交付能力。不僅支持鏈路、服務(wù)器及全局負(fù)載均衡功能，并支持TCP優(yōu)化、SSL加速、緩存、壓縮、智能路由等應(yīng)用加速和DDoS等安全防護(hù)功能，確保應(yīng)用的快速、安全、可用

? 高效的健康檢測算法。可從網(wǎng)絡(luò)層、應(yīng)用層全方位的探測、檢查服務(wù)器和鏈路的運(yùn)行狀態(tài)，以便快速的選擇最合適的服務(wù)器或出口鏈路，從而實(shí)現(xiàn)高效的負(fù)載分擔(dān) ? 豐富的負(fù)載均衡調(diào)度算法。支持全面的4~7層負(fù)載均衡和鏈路負(fù)載均衡功能。能夠提供多達(dá)十余種的負(fù)載均衡調(diào)度算法，包括：輪詢、比重法、最小鏈接、最小響應(yīng)時間、隨機(jī)、源地址/目的地址/源端口HASH、就近性選擇、基于帶寬的調(diào)度以及基于HTTP內(nèi)容的調(diào)度等算法

? 部署方式靈活。支持NAT、DR、鏈路、三明治等多種接入方式，并支持高密千兆及萬兆接口，能滿足各種復(fù)雜應(yīng)用環(huán)境的需要

? 電信級高可靠。雙電源、數(shù)據(jù)平面與控制平面相分離、VRRP等技術(shù)，可有效降低單點(diǎn)故障，確保99.999％的電信級可靠性 功能介紹

多種負(fù)載均衡調(diào)度算法

調(diào)度算法指對需要負(fù)載均衡的流量，按照一定的策略分發(fā)到指定的服務(wù)器群中的服務(wù)器或指定鏈路組的某條鏈路上，使得各臺服務(wù)器或鏈路盡可能地保持負(fù)載均衡。調(diào)度算法以連接為粒度，同一條連接的所有報文都會分發(fā)到同一個服務(wù)器或鏈路上。這種細(xì)粒度的調(diào)度在一定程度上可以避免單個用戶訪問的突發(fā)性引起服務(wù)器或鏈路間的負(fù)載不平衡。

負(fù)載均衡技術(shù)持豐富的負(fù)載均衡調(diào)度算法。不同調(diào)度算法所實(shí)現(xiàn)的負(fù)載均衡效果不同，可以需要根據(jù)具體的應(yīng)用場景，采用不同的算法。? 靜態(tài)調(diào)度算法

靜態(tài)算法，即按照預(yù)先設(shè)定策略，進(jìn)行分發(fā)，不考慮當(dāng)前各實(shí)服務(wù)或鏈路的實(shí)際負(fù)載情況。算法特點(diǎn)：實(shí)現(xiàn)簡單，調(diào)度快捷。

? 輪轉(zhuǎn)（Round Robin Scheduling）

依次將請求分發(fā)到不同的服務(wù)器或鏈路上，使得各個真實(shí)服務(wù)器或鏈路平均分擔(dān)用戶的連接請求。如：實(shí)服務(wù)群中包含三個實(shí)服務(wù)A、B、C，假設(shè)各實(shí)服務(wù)均未達(dá)到連接上限，最后分發(fā)給A、B、C的連接數(shù)之比為1：1：1。

適用場景：服務(wù)器集群中各服務(wù)器性能或鏈路群中各鏈路帶寬相當(dāng)，無優(yōu)劣之分。

? 加權(quán)輪轉(zhuǎn)（Weighted Round Robin Scheduling）

按照權(quán)值大小，依次將請求分發(fā)到不同的服務(wù)器或鏈路上，權(quán)值大的分配較多請求，權(quán)值小的分配較少請求。該算法可以解決服務(wù)器間性能或鏈路間帶寬不一的問題，權(quán)值標(biāo)識服務(wù)器間性能或鏈路間帶寬差異。

如：實(shí)服務(wù)組中包含三個實(shí)服務(wù)A、B、C，其配置權(quán)值分別為：4、3、2。假設(shè)各實(shí)服務(wù)均未達(dá)到連接上限，最后分發(fā)給A、B、C的連接數(shù)之比為4：3：2。適用場景：服務(wù)器集群中各服務(wù)器性能或鏈路集群中各鏈路帶寬存在差異。

? 隨機(jī)（Random Scheduling）

將請求隨機(jī)分發(fā)到不同的服務(wù)器或鏈路上。從統(tǒng)計學(xué)角度看，調(diào)度結(jié)果為各個服務(wù)器或鏈路平均分擔(dān)用戶的連接請求。

適用場景：服務(wù)器集群中各服務(wù)器性能或鏈路群中各鏈路帶寬相當(dāng)，無優(yōu)劣之分。? 加權(quán)隨機(jī)（Weighted Random Scheduling）

將請求隨機(jī)分發(fā)到不同的服務(wù)器或鏈路上。從統(tǒng)計學(xué)角度看，調(diào)度結(jié)果為各個服務(wù)器或鏈路按照權(quán)值比重分擔(dān)用戶的連接請求，最后的比值和加權(quán)輪轉(zhuǎn)一致。

適用場景：服務(wù)器集群中各服務(wù)器性能或鏈路群中各鏈路帶寬存在差異。

? 基于源IP的Hash（Source IP Hashing Scheduling）

通過一個散列（Hash）函數(shù)將來自同一個源IP的請求映射到一臺服務(wù)器或鏈路上。

適用場景：需要保證來自同一個用戶的請求分發(fā)到同一個服務(wù)器或鏈路。

? 基于源IP端口的Hash（Source IP and Source Port Hashing Scheduling）

通過一個散列函數(shù)將來自同一個源IP和源端口號的請求映射到一臺服務(wù)器或鏈路上。

適用場景：需要保證來自同一個用戶同一個業(yè)務(wù)的請求分發(fā)到同一臺服務(wù)器或鏈路。

? 基于目的IP的Hash（Destination IP Hashing Scheduling）

通過一個散列函數(shù)將去往同一個目的IP的請求映射到一臺服務(wù)器或鏈路上。

適用場景：需要保證到達(dá)同一個目的地的請求分發(fā)到同一臺服務(wù)器或鏈路。適用于網(wǎng)關(guān)負(fù)載均衡和鏈路負(fù)載均衡。

? 動態(tài)調(diào)度算法

相對于靜態(tài)算法，動態(tài)算法根據(jù)各實(shí)服務(wù)或物理鏈路實(shí)際運(yùn)行中的負(fù)載情況進(jìn)行連接分發(fā)，分發(fā)效果更均衡。

? 最小連接（Least Connection Scheduling）

負(fù)載均衡設(shè)備根據(jù)當(dāng)前各服務(wù)器或鏈路的連接數(shù)來估計服務(wù)器或鏈路的負(fù)載情況，把新的連接分配給連接數(shù)最小的服務(wù)器或鏈路。該算法能把負(fù)載差異較大（連接保持時長差異較大）的請求平滑分發(fā)到各個服務(wù)器或鏈路上。適用場景：服務(wù)器集群中各服務(wù)器性能或鏈路群中各鏈路帶寬相當(dāng)，無優(yōu)劣之分，不同用戶發(fā)起的連接保存時長差異較大。

? 加權(quán)最小連接（Weighted Connection Scheduling）

調(diào)度新連接時盡可能使服務(wù)器或鏈路的已建立活動連接數(shù)和服務(wù)器或鏈路權(quán)值成比例，權(quán)值表明了服務(wù)器處理性能或鏈路實(shí)際帶寬。

適用場景：服務(wù)器集群中各服務(wù)器性能或鏈路群中各鏈路帶寬存在差異，不同用戶發(fā)起的連接保存時長差異較大。

? 帶寬（Bandwidth Scheduling）負(fù)載均衡設(shè)備根據(jù)不同鏈路的實(shí)際剩余帶寬及權(quán)值，將新連接分發(fā)到剩余帶寬最大的鏈路上。

適用場景：鏈路群中各鏈路狀況（包括帶寬、擁塞程度等）存在差異。

? 靈活的就近性算法

就近性算法是指在鏈路負(fù)載均衡中，負(fù)載均衡設(shè)備利用健康性檢測功能實(shí)時探測鏈路的狀態(tài)，根據(jù)探測結(jié)果計算出最優(yōu)鏈路，并通過最優(yōu)鏈路轉(zhuǎn)發(fā)業(yè)務(wù)流量。就近性算法支持的健康性檢測類型包括：

? DNS：通過DNS報文，檢測遠(yuǎn)端DNS服務(wù)的可用性并獲得就近性計算參數(shù)。只有Inbound鏈路負(fù)載均衡支持該檢測類型。

? ICMP：通過ICMP報文，檢測遠(yuǎn)端地址的可達(dá)性并獲得就近性計算參數(shù)。TCP Half Open：通過建立TCP半開連接，檢測遠(yuǎn)端地址的可達(dá)性并獲得就近性計算參數(shù)。?

就近性算法根據(jù)以下幾個參數(shù)進(jìn)行加權(quán)計算，得出鏈路加權(quán)數(shù)，并根據(jù)鏈路加權(quán)數(shù)的大小判斷鏈路的優(yōu)劣：

? 鏈路物理帶寬：即鏈路的可用帶寬值。

鏈路成本：取決于每條鏈路的成本值，比如租用聯(lián)通10M鏈路每月1萬元，租用電信10M鏈路每月1.5萬元，則兩條鏈路的成本比例為2：3，兩條鏈路成本的取值應(yīng)該滿足該比例。?

? 鏈路延遲時間（即RTT）：通過探測獲得。路由跳數(shù)（即TTL）：通過探測獲得。?

多種健康性檢測方法

所謂健康檢測，就是負(fù)載均衡設(shè)備定期對真實(shí)服務(wù)器或鏈路服務(wù)狀態(tài)進(jìn)行探測，收集相應(yīng)信息，及時隔離工作異常的服務(wù)器或鏈路。健康檢測的結(jié)果除標(biāo)識服務(wù)器或鏈路能否工作外，還可以統(tǒng)計出服務(wù)器或鏈路的響應(yīng)時間，作為選擇服務(wù)器或鏈路的依據(jù)。

負(fù)載均衡技術(shù)支持豐富的健康性檢測方法，可以有效地探測和檢查服務(wù)器或鏈路的運(yùn)行狀態(tài)。

? ICMP 向服務(wù)器集群中的服務(wù)器或鏈路上的節(jié)點(diǎn)發(fā)送ICMP Echo報文，若收到ICMP Reply，則服務(wù)器或鏈路正常。

? TCP 向服務(wù)器集群中服務(wù)器的某端口發(fā)起TCP連接建立請求，若成功建立TCP連接，則服務(wù)器正常。

? HTTP 與服務(wù)器集群中服務(wù)器的HTTP端口（默認(rèn)情況為80）建立TCP連接，然后發(fā)出HTTP請求，若收到的HTTP應(yīng)答內(nèi)容正確，則服務(wù)器正常。

? FTP 與服務(wù)器集群中服務(wù)器的21號端口建立TCP連接，然后獲取服務(wù)器上的文件，若收到的文件內(nèi)容正確，則服務(wù)器正常。

? TCP Half Open 向鏈路上節(jié)點(diǎn)的某端口發(fā)起TCP連接建立請求，若成功建立TCP半開連接，則鏈路正常。

? DNS 向鏈路上的DNS服務(wù)器發(fā)送DNS請求，若收到正確的DNS應(yīng)答，則鏈路正常。

多種會話持續(xù)性功能

一次業(yè)務(wù)交互可能包括多個TCP連接，如FTP應(yīng)用（包含一個控制通道和多個數(shù)據(jù)通道）和HTTP應(yīng)用。這些TCP連接間有些存在顯式關(guān)聯(lián)關(guān)系，如FTP應(yīng)用，數(shù)據(jù)通道的TCP連接是通過控制通道協(xié)商得來的。有些存在隱含的關(guān)聯(lián)關(guān)系，如HTTP網(wǎng)絡(luò)購物，多條連接組成一次業(yè)務(wù)應(yīng)用，且多個連接并不像FTP應(yīng)用一樣有“父子”之分，能通過父通道獲取子通道信息，但所有該業(yè)務(wù)的請求應(yīng)發(fā)給同一服務(wù)器,否則可能造成無法完成所請求的功能，因?yàn)槠鋽?shù)據(jù)報文中攜帶隱含關(guān)聯(lián)信息，如cookie。

將屬于同一個應(yīng)用層會話的多個連接定向到同一服務(wù)器的功能，就是持續(xù)性功能。根據(jù)持續(xù)性原則，建立會話表項(xiàng)，保證后續(xù)業(yè)務(wù)報文都送往同一個服務(wù)器處理。比如使用源地址建立持續(xù)性表項(xiàng)，保證持續(xù)性。

具有顯式關(guān)聯(lián)關(guān)系持續(xù)性功能

如前所述，F(xiàn)TP應(yīng)用的多條TCP連接之間具有顯式關(guān)聯(lián)關(guān)系：子通道五元組是通過父通道協(xié)商得來的。因此負(fù)載均衡設(shè)備對于FTP應(yīng)用會逐包分析父通道報文，一旦發(fā)現(xiàn)子通道協(xié)商信息，就會利用該信息建立父通道會話關(guān)聯(lián)表項(xiàng)，當(dāng)子通道首報文到來時，根據(jù)關(guān)聯(lián)表項(xiàng)和父會話表項(xiàng)建立完整的會話表項(xiàng)，從而保證父子通道登錄同一臺服務(wù)器。顯式關(guān)聯(lián)關(guān)系由負(fù)載均衡設(shè)備自動識別，無需配置策略。

具有隱式關(guān)聯(lián)關(guān)系持續(xù)性功能

? 基于源IP地址的持續(xù)性功能 基于源IP地址的持續(xù)性功能常用于服務(wù)器負(fù)載均衡應(yīng)用中，用以確保同一個客戶端的業(yè)務(wù)能分配到同一個服務(wù)器中。

負(fù)載均衡設(shè)備接收到某一客戶端的某一業(yè)務(wù)的首次請求時，建立持續(xù)性表項(xiàng)，記錄為該客戶分配的服務(wù)器情況，在會話表項(xiàng)生存周期內(nèi)，后續(xù)相同源IP地址的業(yè)務(wù)報文都將發(fā)往該服務(wù)器處理。

? 基于目的IP地址的持續(xù)性功能

基于目的IP地址的持續(xù)性功能常用于鏈路負(fù)載均衡應(yīng)用中，用以確保去往同一個目的地址的業(yè)務(wù)能分配到同一條鏈路上。

負(fù)載均衡設(shè)備接收到某一客戶端的某一業(yè)務(wù)的首次請求時，建立持續(xù)性表項(xiàng)，記錄為該客戶分配的鏈路情況，在會話表項(xiàng)生存周期內(nèi)，后續(xù)相同目的IP地址的業(yè)務(wù)報文都將分發(fā)到該鏈路轉(zhuǎn)發(fā)。

? 基于Cookie和header的持續(xù)性功能常用于web服務(wù)器需要用戶攜帶私有信息或某些特定信息的服務(wù)器負(fù)載均衡應(yīng)用中，用來確保同一個用戶能夠去往同一個目的地址。Cookie支持4種持續(xù)性方式，包括插入模式，重寫模式，被動模式，HASH模式。

4~7層的負(fù)載均衡

基于第四層（L4）的負(fù)載均衡在截取數(shù)據(jù)流以后，對數(shù)據(jù)包檢查與分析的部分僅限于IP報頭及TCP/UDP報頭，而不關(guān)心TCP或UDP包的內(nèi)部信息。而基于L7的負(fù)載均衡則要求負(fù)載均衡設(shè)備除了支持L4負(fù)載均衡以外，還要解析數(shù)據(jù)包中4層以上的信息，即應(yīng)用層的信息。例如，可以解析HTTP協(xié)議，從數(shù)據(jù)包中提取出HTTP URL或Cookie信息。

L7負(fù)載均衡控制應(yīng)用層服務(wù)的內(nèi)容，提供了一種對訪問流量的高層控制方式。與L4負(fù)載均衡相比，L7負(fù)載均衡具有如下優(yōu)點(diǎn)：

? 通過對HTTP報頭的檢查，可以檢測出HTTP400、500和600系列的錯誤信息，因而能透明地將連接請求重新定向到另一臺服務(wù)器，避免應(yīng)用層故障。

? 可根據(jù)數(shù)據(jù)包內(nèi)容（如判斷數(shù)據(jù)包是圖像文件、壓縮文件或多媒體文件格式等），把數(shù)據(jù)流量引向相應(yīng)內(nèi)容的服務(wù)器來處理，增加系統(tǒng)性能。? 可根據(jù)連接請求的數(shù)據(jù)類型（比如根據(jù)URL來區(qū)分是請求普通文本、圖象等靜態(tài)文檔，還是請求ASP、CGI等動態(tài)文檔），把相應(yīng)的請求引向相應(yīng)的服務(wù)器來處理，提高系統(tǒng)的性能及安全性。

由于L7負(fù)載均衡對應(yīng)用層協(xié)議進(jìn)行深度識別，因此，對于每種應(yīng)用層協(xié)議都需要有獨(dú)立的識別機(jī)制，這大大限制了L7負(fù)載均衡的應(yīng)用擴(kuò)展性，一般只是針對HTTP進(jìn)行負(fù)載均衡。同時，深度識別應(yīng)用層協(xié)議，對系統(tǒng)性能也會有很大影響。

多種HTTP安全防護(hù)策略

隨著基于web業(yè)務(wù)的迅速發(fā)展，web的安全性越來越受到關(guān)注。黑客們能夠利用操作系統(tǒng)的漏洞或通過web程序的漏洞進(jìn)行sql注入等攻擊，以獲取 web服務(wù)器的控制權(quán)限，或篡改網(wǎng)頁內(nèi)容，竊取內(nèi)部數(shù)據(jù)或網(wǎng)站用戶的重要信息，因此越來越多的用戶也開始關(guān)注網(wǎng)站的安全性問題。HTTP安全防護(hù)其基本功能如下

? 網(wǎng)絡(luò)爬蟲防護(hù)。對有攻擊性的爬蟲行為進(jìn)行限制，能夠減小web服務(wù)器的負(fù)載。

? 網(wǎng)頁盜鏈防護(hù)。一些網(wǎng)站通過一些手段繞過其它有利益的最終用戶界面(如廣告)，直接在自己的網(wǎng)站上向最終用戶提供其它服務(wù)提供商的服務(wù)，這樣嚴(yán)重侵害了真正的服務(wù)提供商的利益，防盜鏈功能能夠防止盜鏈的發(fā)生，保護(hù)服務(wù)提供商的利益。

? HTTP正規(guī)化。通過HTTP METHOD規(guī)則的設(shè)置能夠防止黑客利用一些非常用的METHOD獲取網(wǎng)站信息，減小web服務(wù)器的安全隱患。通過請求行和cookie各個參數(shù)的長度限制能夠多種緩沖區(qū)溢出攻擊。

? 漏洞攻擊防護(hù)。能夠?qū)ql注入攻擊和xss攻擊進(jìn)行阻斷和告警。參數(shù)修改防護(hù)。防止黑客惡意修改HTTP提交信息的參數(shù)來對一些服務(wù)的正常功能產(chǎn)生不利影響。?

? 黑白名單。通過設(shè)置黑白名單能夠?qū)?jīng)常發(fā)起攻擊的ip或網(wǎng)段進(jìn)行限制。HTTP安全日志。記錄每次遭受攻擊的ip，端口，攻擊信息等。?

連接復(fù)用功能

將客戶端的多個連接合并為與服務(wù)器的一個連接來進(jìn)行通信，減少TCP連接的三次握手次數(shù)，提高實(shí)際有效數(shù)據(jù)的交換比率。同時連接復(fù)用功能還將Web流量的多個短連接合并為一個長連接，提高服務(wù)器的響應(yīng)速度，改善服務(wù)器的性能。

HTTP壓縮功能 代替WEB服務(wù)器對靜態(tài)資源進(jìn)行壓縮，能夠有效提高服務(wù)器的響應(yīng)速度，減輕服務(wù)器的負(fù)荷。

流量控制及上網(wǎng)行為審計

通過我司上網(wǎng)行為管理及流控UAG3000業(yè)務(wù)板的部署，一方面通過對***大學(xué)上網(wǎng)行為的審計管控，完成公安部第82號令要求，以及學(xué)校自身辦公效率提升訴求，規(guī)范師生上網(wǎng)行為，防止非法上網(wǎng)行為給學(xué)校造成不良的社會影響；另一方面針對網(wǎng)絡(luò)出口不同流量進(jìn)行智能分析處理，保障關(guān)鍵應(yīng)用流量，同時根據(jù)不同的流量特性智能選擇不同出口鏈路，提高用戶體驗(yàn)。

P2P、在線點(diǎn)播、網(wǎng)絡(luò)游戲等的無節(jié)制使用，使企業(yè)網(wǎng)絡(luò)流量呈現(xiàn)爆炸式增長，寶貴的網(wǎng)絡(luò)資源被濫用，嚴(yán)重影響了Mail、視頻/電話會議等關(guān)鍵業(yè)務(wù)的正常使用；互聯(lián)網(wǎng)的無序、隨意訪問，也會給企業(yè)帶來各種潛在安全風(fēng)險；病毒等威脅的肆意泛濫，不僅會造成網(wǎng)絡(luò)流量異常，甚至將導(dǎo)致業(yè)務(wù)癱瘓。傳統(tǒng)的通過擴(kuò)容網(wǎng)絡(luò)帶寬的方法不僅成本大而且收效甚微，將應(yīng)用流量控制和行為管理相結(jié)合是解決上述問題的最佳選擇。

迪普科技在網(wǎng)絡(luò)及安全領(lǐng)域具有長期積累，具有自主研發(fā)的100G應(yīng)用層硬件處理平臺，是全球極少數(shù)可提供萬兆流量控制和行為管理產(chǎn)品的廠商。迪普科技UAG系列產(chǎn)品基于“并行流過濾引擎”、“DPI”等核心技術(shù)，提供包括網(wǎng)絡(luò)流量分析及控制、上網(wǎng)行為管理、訪問控制、病毒防范等功能的綜合解決方案。其深入到7層的識別、分類和控制技術(shù)，能快速實(shí)現(xiàn)網(wǎng)絡(luò)流量及應(yīng)用的可視化，并配合靈活的管控策略，實(shí)現(xiàn)對網(wǎng)絡(luò)資源輕松管理；“零帶寬損耗”技術(shù)徹底解決流量控制帶來帶寬高損耗問題；超過1000萬條自動分類的URL地址庫，讓上網(wǎng)行為管理工作更加智能和簡單；集成的卡巴斯基病毒過濾引擎，可實(shí)時阻斷病毒、木馬和蠕蟲等威脅，并可消除病毒暴發(fā)帶來的異常流量。

UAG可應(yīng)用于各種網(wǎng)絡(luò)環(huán)境，是目前業(yè)界性能最高、網(wǎng)絡(luò)行為識別最精確、功能最豐富的流量控制及行為管理產(chǎn)品。UAG的部署，可幫助企業(yè)實(shí)現(xiàn)IT管理、應(yīng)用資源、安全防護(hù)的全面提升和優(yōu)化。

UAG3000-Blade業(yè)務(wù)板技術(shù)特點(diǎn) ? 深度流量分析

可識別上千種協(xié)議，清晰的圖形化界面可直觀查看實(shí)時/歷史流量走勢、應(yīng)用排名、用戶狀態(tài)、連接數(shù)等信息，便于分析網(wǎng)絡(luò)健康狀況以及定位故障。多維度、豐富的分析和數(shù)據(jù)報表，可滿足各種統(tǒng)計報告要求。? 精細(xì)化流量控制

對于網(wǎng)絡(luò)中的各種應(yīng)用流量，可基于用戶、時間、VLAN和協(xié)議等進(jìn)行細(xì)粒度流量管理。為保證流量控制的準(zhǔn)確性和全面性，UAG采用了智能的專利P2P識別技術(shù)，來實(shí)現(xiàn)對加密和未知版本P2P的有效識別。另外，UAG提供應(yīng)用級QoS，可為核心業(yè)務(wù)預(yù)留資源，在出現(xiàn)網(wǎng)絡(luò)資源不足時，優(yōu)先保障核心業(yè)務(wù)的通暢運(yùn)行。? 零帶寬損耗

通過智能阻斷和動態(tài)協(xié)商技術(shù)，在進(jìn)行流量管理時，將帶寬消耗降低到5%以內(nèi)，避免“流量控制帶來帶寬高損耗”。該技術(shù)在確保用戶體驗(yàn)流暢的網(wǎng)絡(luò)應(yīng)用的同時，也節(jié)省大量網(wǎng)絡(luò)帶寬，讓網(wǎng)絡(luò)應(yīng)用得到提升，從而增強(qiáng)經(jīng)濟(jì)效益。? 上網(wǎng)行為管理

可對Web訪問、網(wǎng)絡(luò)游戲、炒股、在線影視等上網(wǎng)行為進(jìn)行詳細(xì)記錄審核和權(quán)限管理，規(guī)范用戶上網(wǎng)行為，確保上網(wǎng)行為符合相關(guān)規(guī)定要求；可提供超過1000萬條URL數(shù)據(jù)庫并分為數(shù)十種類別，用戶可簡單、靈活的實(shí)施URL控制策略。? 病毒防護(hù)

內(nèi)置的專業(yè)卡巴斯基防病毒引擎，采用新一代虛擬脫殼和行為判斷技術(shù)，能準(zhǔn)確查殺各種變種病毒、未知病毒，遏制因這些威脅引起的異常流量，在抵御威脅同時凈化網(wǎng)絡(luò)流量。功能介紹 ? 用戶管理

對上網(wǎng)行為的監(jiān)控需要對用戶身份進(jìn)行有效的管理，沒有嚴(yán)格的認(rèn)證就無法有效區(qū)分用戶，也就無法部署差異化授權(quán)策略，自然無法有效防御身份冒充、權(quán)限擴(kuò)散與濫用等。

UAG產(chǎn)品支持持豐富的身份認(rèn)證方式：Web 認(rèn)證、用戶名/密碼認(rèn)證、IP認(rèn)證、MAC認(rèn)證、IP-MAC綁定認(rèn)證，同時支持與第三方認(rèn)證服務(wù)器AD、LDAP、Radius 等聯(lián)動進(jìn)行用戶身份認(rèn)證，確保合法用戶才可以正常接入網(wǎng)絡(luò)；

下圖是用戶名/密碼認(rèn)證的流程圖，其他認(rèn)證方式與該流程圖類似

用戶上網(wǎng)通過IP判斷用戶是否通過認(rèn)證沒有通過認(rèn)證向用戶推送認(rèn)證界面(該認(rèn)證界面可以自定義)已經(jīng)通過認(rèn)證用戶在認(rèn)證界面中輸入合法的用戶名和密碼，提交UAG進(jìn)行認(rèn)證非法用戶UAG提取用戶輸入的用戶名和密碼進(jìn)行認(rèn)證合法用戶用戶正常上網(wǎng)

? 流量分析和控制

UAG采用特征分析和行為模型相結(jié)合的獨(dú)有引擎設(shè)計，在不影響報文網(wǎng)絡(luò)延遲的情況，精確識別各種網(wǎng)絡(luò)應(yīng)用；

UAG一共可以識別幾百種網(wǎng)絡(luò)應(yīng)用，如下圖所示，可以全面有效的對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控和管理，并且通過定期的協(xié)議庫規(guī)則的升級，可以支持最新的網(wǎng)絡(luò)應(yīng)用流量；

UAG可以識別的主流應(yīng)用如下：

1、迅雷、電騾、BT等多種P2P流量

2、PPTV、PPStream、優(yōu)酷網(wǎng)、土豆網(wǎng)等各種網(wǎng)絡(luò)視頻流量

3、QQ、MSN、新浪UC等各種聊天軟件流量

4、魔獸世界、傳奇等各種網(wǎng)絡(luò)游戲流量

5、同花順、大智慧等各種股票軟件流量

對于普通的網(wǎng)絡(luò)應(yīng)用，UAG使用精確引擎檢測技術(shù)，通過對網(wǎng)絡(luò)報文的方向、網(wǎng)絡(luò)報文的五元組、網(wǎng)絡(luò)報文的長度、網(wǎng)絡(luò)報文的負(fù)載部分進(jìn)行深度掃描，精確識別該網(wǎng)絡(luò)報文所屬的網(wǎng)絡(luò)應(yīng)用；

對于P2P的的網(wǎng)絡(luò)應(yīng)用，UAG除了使用精確引擎檢測技術(shù)進(jìn)行檢測以外，UAG還使用了行為模式引擎技術(shù)，通過對P2P軟件的流量模型、行為模型和統(tǒng)計模型的分析，構(gòu)建P2P軟件的通用檢測技術(shù)，可以解決現(xiàn)有的P2P和以后新出現(xiàn)的P2P軟件的識別和統(tǒng)計，一勞永逸地解決P2P的監(jiān)控和管理；

一旦精確識別了網(wǎng)絡(luò)應(yīng)用，就可以對該網(wǎng)絡(luò)應(yīng)用進(jìn)行允許、禁止和限制等各種管理策略，保證用戶正常網(wǎng)絡(luò)應(yīng)用的帶寬，限制P2P的大量流量占用帶寬；

下圖是流量分析和控制的流程圖：

UAG收到用戶報文精確引擎識別（通過報文的長度、報文的負(fù)載內(nèi)容、報文的方向進(jìn)行識別）無法識別為具體的網(wǎng)絡(luò)應(yīng)用將用戶報文送入行為模式引擎進(jìn)行識別識別為某種網(wǎng)絡(luò)應(yīng)用識別為網(wǎng)絡(luò)行為將該網(wǎng)絡(luò)應(yīng)用或者網(wǎng)路行為以及相關(guān)流量信息進(jìn)行統(tǒng)計通過圖表等方式展示當(dāng)前網(wǎng)絡(luò)流量發(fā)布情況按照用戶配置的流量控制策略進(jìn)行控制，允許或者禁止用戶進(jìn)行該網(wǎng)絡(luò)應(yīng)用的訪問

? 行為審計

各種網(wǎng)絡(luò)應(yīng)用日新月異，如何有效的監(jiān)管上網(wǎng)行為，避免員工頻繁地進(jìn)行網(wǎng)絡(luò)聊天、觀看在線視頻等非工作網(wǎng)絡(luò)業(yè)務(wù)，防止員工外發(fā)信息泄露公司機(jī)密信息，防止員工發(fā)表與法律法規(guī)不相符的相關(guān)言論，是每一個單位、企業(yè)、公司等面臨的問題；

UAG產(chǎn)品通過內(nèi)容審計引擎對各種網(wǎng)絡(luò)應(yīng)用進(jìn)行掃描，提取各種虛擬帳號（如QQ號碼、MSN帳號、郵件地址等、論壇帳號），對外發(fā)的各種文件上傳、論壇發(fā)帖、新聞回復(fù)等內(nèi)容進(jìn)行深度檢測；具體的實(shí)現(xiàn)流程圖如下：

UAG收到用戶報文精確識別應(yīng)用協(xié)議聊天應(yīng)用網(wǎng)頁瀏覽郵件發(fā)送論壇發(fā)帖FTP應(yīng)用識別帳號信息，聊天對象、聊天內(nèi)容識別網(wǎng)頁URL地址，網(wǎng)頁標(biāo)題識別郵件地址，收件人地址，郵件主題，郵件內(nèi)容，郵件附件識別帳號信息，發(fā)帖內(nèi)容識別FTP登錄。退出，上傳下載文件名、文件內(nèi)容過濾 ? 防病毒功能

UAG內(nèi)置的專業(yè)防病毒引擎，采用新一代虛擬脫殼和行為判斷技術(shù)，能準(zhǔn)確查殺各種變種病毒、未知病毒，為企業(yè)構(gòu)建綠色的IT環(huán)境。

防病毒檢測流程圖如下：

UAG收到用戶報文精確識別應(yīng)用協(xié)議將協(xié)議的負(fù)載部分進(jìn)行提取采用防病毒引擎對負(fù)載進(jìn)行掃描發(fā)現(xiàn)病毒給出告警信息和對應(yīng)的策略 DPX8000產(chǎn)品介紹

DPtech DPX8000系列深度業(yè)務(wù)交換網(wǎng)關(guān)是DPtech公司專門為大型企業(yè)、運(yùn)營商和數(shù)據(jù)中心網(wǎng)絡(luò)提供業(yè)界最高性能安全防護(hù)的高端核心設(shè)備。DPX8000系列基于強(qiáng)大的多核處理器技術(shù)和FPGA 硬件加速處理技術(shù)，采用背板、全交換、分布式模塊化架構(gòu)，并且控制平面和數(shù)據(jù)平面相分離：控制平面采用強(qiáng)大的多核處理器進(jìn)行各種業(yè)務(wù)的調(diào)度和應(yīng)用識別；數(shù)據(jù)平面采用專用的FPGA 進(jìn)行數(shù)據(jù)流的快速轉(zhuǎn)發(fā)處理，并且可以通過增加多種業(yè)務(wù)插卡來提供豐富安全服務(wù)，用戶可以在不改變網(wǎng)絡(luò)拓?fù)涞那闆r下，隨時升級網(wǎng)絡(luò)安全防護(hù)等級和業(yè)務(wù)處理能力。

產(chǎn)品技術(shù)特點(diǎn)

? 業(yè)界第一款深度業(yè)務(wù)交換網(wǎng)關(guān)。集業(yè)務(wù)交換、網(wǎng)絡(luò)安全、應(yīng)用交付三大功能于一體，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢，使復(fù)雜的網(wǎng)絡(luò)變得更簡單

? 100G高性能平臺。支持未來40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)；提供高性能業(yè)務(wù)單板，最大可提供400G整機(jī)深度業(yè)務(wù)處理能力

? 豐富的業(yè)務(wù)擴(kuò)展能力。支持應(yīng)用防火墻、IPS、流量控制、安全審計、應(yīng)用交付、異常流量清洗/檢測等深度業(yè)務(wù)功能的按需擴(kuò)展

? 領(lǐng)先的虛擬化能力。DPX8000以資源化方式，將一個個相互獨(dú)立的功能單一的物理設(shè)備形成一個或多個邏輯對象，所有策略配置和管理均基于邏輯對象進(jìn)行實(shí)施，不僅大大提高了業(yè)務(wù)組網(wǎng)能力，并使得可靠性、無縫升級能力大大增強(qiáng)。

? 強(qiáng)大的網(wǎng)絡(luò)適用性。支持IPv4/IPv6、三層/二層MPLS VPN等豐富的網(wǎng)絡(luò)特性，并提供48GE光、48GE電、4*10GE、8*10GE、32*10GE、4*2.5G POS、4*10G POS、1*40G POS等各種高密端口

? 電信級高可靠。主控冗余、N+1電源、不間斷重啟、熱補(bǔ)丁、數(shù)據(jù)/控制/監(jiān)測平面分離等技術(shù)，確保99.999％的電信級可靠性

迪普整網(wǎng)安全解決方案優(yōu)勢

? 多層次、立體的安全防護(hù)及應(yīng)用優(yōu)化

迪普安全解決方案集成了多個應(yīng)用級安全模塊，實(shí)現(xiàn)客戶網(wǎng)絡(luò)安全及應(yīng)用優(yōu)化的一站式部署。通過防火墻、WAF、IPS業(yè)務(wù)板塊的集成為客戶網(wǎng)絡(luò)提供了應(yīng)用及的安全防護(hù)；SSLVPN、統(tǒng)一審計網(wǎng)關(guān)、負(fù)載均衡業(yè)務(wù)板塊解決了用戶的應(yīng)用安全及應(yīng)用質(zhì)量提升的需求。

? 智能流量調(diào)度，減少數(shù)據(jù)處理流程，提高業(yè)務(wù)處理效率

迪普科技專有的智能流量調(diào)度技術(shù)可實(shí)現(xiàn)對客戶網(wǎng)絡(luò)訪問流量智能識別及分流，根據(jù)不同流量安全及優(yōu)化需求將數(shù)據(jù)智能調(diào)度到相應(yīng)安全業(yè)務(wù)板塊，從而減少數(shù)據(jù)的重復(fù)及非需求的識別處理。? 一體化

安全業(yè)務(wù)板塊一體化方案一方面規(guī)避了網(wǎng)絡(luò)中因多安全設(shè)備串聯(lián)而帶來的單點(diǎn)故障，同時減少數(shù)據(jù)報文的多次重復(fù)解析和處理以及網(wǎng)絡(luò)性能的衰減和延遲。另一方面解決了多廠商、多設(shè)備間相互兼容困難，特別是隨著網(wǎng)絡(luò)規(guī)模和組網(wǎng)模式的不斷革新，難以實(shí)現(xiàn)性能、功能、接口的按需擴(kuò)展的問題。? 虛擬化

領(lǐng)先的虛擬化能力。迪普產(chǎn)品DPX8000以資源化方式，將一個個相互獨(dú)立的功能單一的物理設(shè)備形成一個或多個邏輯對象，所有策略配置和管理均基于邏輯對象進(jìn)行實(shí)施，不僅大大提高了業(yè)務(wù)組網(wǎng)能力，并使得可靠性、無縫升級能力大大增強(qiáng)。? 高性能

迪普出口安全防護(hù)解決方案提供100G高性能平臺。支持未來40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)；提供高性能業(yè)務(wù)單板，最大可提供400G整機(jī)深度業(yè)務(wù)處理能力。? 豐富的業(yè)務(wù)擴(kuò)展能力

支持應(yīng)用防火墻、IPS、流量控制、安全審計、應(yīng)用交付、異常流量清洗/檢測等深度業(yè)務(wù)功能的按需擴(kuò)展；支持IPv4/IPv6、三層/二層MPLS VPN等豐富的網(wǎng)絡(luò)特性，并提供48GE光、48GE電、4*10GE、8*10GE、32*10GE、4*2.5G POS、4*10G POS、1*40G POS等各種高密端口，可支持任何復(fù)雜組網(wǎng)需求。? 高可靠性

電信級高可靠。主控冗余、N+1電源、不間斷重啟、熱補(bǔ)丁、數(shù)據(jù)/控制/監(jiān)測平面分離等技術(shù)，確保99.999％的電信級可靠性。

B、統(tǒng)一認(rèn)證系統(tǒng)方案設(shè)計

針對以上***大學(xué)認(rèn)證計費(fèi)系統(tǒng)的需求分析，同時結(jié)合***大學(xué)關(guān)于多業(yè)務(wù)場景接入、靈活管理運(yùn)營的相關(guān)要求，此次認(rèn)證計費(fèi)系統(tǒng)改造的解決方案如下：

網(wǎng)絡(luò)拓?fù)湓O(shè)計

在目前校園網(wǎng)核心出口位置部署一臺H3C公司電信級高性能大容量BRAS 設(shè)備SR8804-X，為全校有線和無線用戶提供統(tǒng)一用戶接入與核心路由轉(zhuǎn)發(fā)。SR8804-X上行與出口防火墻互聯(lián)，下行與核心交換機(jī)互聯(lián)。后期擴(kuò)容時，可以考慮再部署一臺，實(shí)現(xiàn)雙機(jī)熱備。雙機(jī)熱備部署，能夠?qū)崿F(xiàn)單臺設(shè)備宕機(jī)，用戶無感知，無需重新?lián)芴柕囊?，保證用戶良好體驗(yàn)。認(rèn)證計費(fèi)系統(tǒng)推薦采用深瀾公司Srun3000多接入認(rèn)證計費(fèi)平臺，與SR8804-X對接，作為Radius server、Portal Server和Policy server、深瀾用戶自助管理平臺。校園網(wǎng)引入BRAS的好處

BRAS（寬帶遠(yuǎn)程接入服務(wù)器）是一種面向?qū)拵ЬW(wǎng)絡(luò)應(yīng)用的應(yīng)用網(wǎng)關(guān)，可用來完成寬帶網(wǎng)絡(luò)用戶的接入、認(rèn)證、計費(fèi)、控制、管理，滿足不同用戶對傳輸容量和帶寬利用率的要求，是寬帶網(wǎng)絡(luò)可運(yùn)營、可管理的基石，被廣泛應(yīng)用于運(yùn)營商網(wǎng)絡(luò)中。在校園網(wǎng)中引入BRAS設(shè)備，旨在保留原有的園區(qū)網(wǎng)優(yōu)勢，引入運(yùn)營商網(wǎng)絡(luò)的優(yōu)勢，打造成易管理、高效安全的校園網(wǎng)。BRAS的優(yōu)勢主要體現(xiàn)在以下幾方面。

1.多種接入認(rèn)證方式：PPPoE、IPoE、DHCP+Web、綁定認(rèn)證等，可根據(jù)需要靈活選用，且同一網(wǎng)絡(luò)中可多種接入認(rèn)證方式并存。

2.靈活的計費(fèi)策略：按時長計費(fèi)、按流量計費(fèi)、上網(wǎng)卡計費(fèi)、不計費(fèi)，且提供計費(fèi)保護(hù)功能，可根據(jù)用戶提供不同“套餐”，滿足收費(fèi)差異化需求。

3.強(qiáng)大的用戶管理能力：通過域管理能很好地區(qū)分不同用戶，提供不同帶寬、不同訪問權(quán)限等差異化的服務(wù)，實(shí)現(xiàn)用戶的精細(xì)化管理。

4.集中式運(yùn)營管理：采用BRAS集中認(rèn)證方式，設(shè)備與認(rèn)證計費(fèi)系統(tǒng)無關(guān)，擺脫802.1x網(wǎng)絡(luò)設(shè)備與認(rèn)證計費(fèi)系統(tǒng)綁定，降低建網(wǎng)投資；接入層設(shè)備與業(yè)務(wù)無關(guān)，便于新業(yè)務(wù)開展；集中式維護(hù)也大大降低了對接入交換機(jī)的維護(hù)工作量。

5.完善的安全防護(hù)功能：BRAS可通過對終端鑒別和授權(quán)、仿冒終端的識別、隔離與控制，充分保證終端的安全性，一方面可以隔離非法終端，另一方面可以抑止合法終端的非法活動，如網(wǎng)絡(luò)攻擊、病毒等。

具體實(shí)現(xiàn)方案

1）學(xué)生宿舍區(qū)和家屬區(qū)接入

學(xué)生宿舍區(qū)和家屬區(qū)建議采用PPPOE+QinQ模式，每用戶每VLAN。接入交換機(jī)配置用戶VLAN，匯聚交換機(jī)添加外層VLAN，核心交換機(jī)透傳到BRAS設(shè)備，由BRAS終結(jié)QINQ報文。

SR8804-X作為用戶網(wǎng)關(guān)，IPOE用戶上線到SR8804-X轉(zhuǎn)DHCP服務(wù)器給用戶分配IP地址，在通過認(rèn)證之前用戶只能訪問認(rèn)證前域的服務(wù)器，用戶的第一個HTTP報文進(jìn)行重定向到Portal服務(wù)器，實(shí)現(xiàn)WEB認(rèn)證，認(rèn)證通過后允許用戶訪問認(rèn)證后域。

SR8804-X作為用戶網(wǎng)關(guān)，PPPOE用戶直接到深瀾AAA服務(wù)器進(jìn)行用戶名和密碼認(rèn)證。

對比原802.1X認(rèn)證計費(fèi)模式，改造后有如下優(yōu)點(diǎn)。

? 所有接入終端，都和網(wǎng)關(guān)建立點(diǎn)對點(diǎn)Session連接。認(rèn)證通過后才能獲得IP地址。PPPOE不存在ARP機(jī)制，減少了網(wǎng)絡(luò)中的ARP問題。

? 交換機(jī)完全作為二層透傳和端口收斂來用。無特殊需求，無需綁定任何廠家，只要支持VLAN交換機(jī)基本功能即可。

? 在匯聚層交換機(jī)上打外層VLAN，確保每用戶每VLAN，完全解決了廣播風(fēng)暴和環(huán)網(wǎng)問題。

? 接入/匯聚層無橫向流量，采用QinQ機(jī)制，每個用戶終端之間都二層隔離，用戶終端之間互訪全部上到BAS進(jìn)行交換，所有流量經(jīng)過SR8804-X，管理點(diǎn)集中化。

? 可以控制每用戶流量帶寬及用戶業(yè)務(wù)優(yōu)先級。計費(fèi)策略多樣化（包月、按流量、按時長等多種策略組合）

? 認(rèn)證客戶端為操作系統(tǒng)自帶或綠色軟件客戶端。無程序兼容問題。? 天然具備IPV6業(yè)務(wù)演進(jìn)能力。

2）辦公和教學(xué)科研區(qū)接入

辦公區(qū)建議采用IPOE和PPPoE混合認(rèn)證模式，每部門每VLAN或每院系每VLAN。如有無線接入，則采用IPoE（MAC+Portal）認(rèn)證模式。

改造后有如下優(yōu)點(diǎn)：

? 控制粒度可以精細(xì)到用戶級，可以統(tǒng)計用戶流量，控制用戶帶寬，控制用所戶訪問資源等。

? 采用先MAC后Portal的認(rèn)證方式，只需一次認(rèn)證通過，下線后在后臺記錄其MAC地址，下次認(rèn)證無需再在portal頁面輸入用戶名密碼，可實(shí)現(xiàn)無感知認(rèn)證。

? 每部門劃分一個VLAN，廣播域控制在部門內(nèi)。三層網(wǎng)關(guān)起在SR8804-X上，所有跨三層訪問經(jīng)過SR8804-X?？缛龑訕I(yè)務(wù)既做到準(zhǔn)入，又做到準(zhǔn)出。? 計費(fèi)策略多樣化（包月、按流量、按時長等多種策略組合）

3）運(yùn)營商用戶接入

校園網(wǎng)存在許多在運(yùn)營商開戶的學(xué)生和家屬，校園網(wǎng)統(tǒng)一建設(shè)以后，需要滿足這些用戶的接入需求，同時也能對這些用戶進(jìn)行管理和計費(fèi)。

學(xué)校認(rèn)證計費(fèi)系統(tǒng)實(shí)現(xiàn)RADIUS代理功能，用戶統(tǒng)一使用PPPoE撥號，在BRAS上終結(jié)PPPoE，并將用戶信息發(fā)到校園AAA系統(tǒng)上認(rèn)證，AAA系統(tǒng)根據(jù)用戶名攜帶的域信息辨識屬于校園網(wǎng)或是運(yùn)營商，對于校園網(wǎng)用戶則直接提供認(rèn)證并在通過之后分配IP地址，對于運(yùn)營商用戶則執(zhí)行RADIUS代理功能，將用戶認(rèn)證信息發(fā)送到相應(yīng)運(yùn)營商的AAA上去進(jìn)行認(rèn)證，由對應(yīng)AAA分配IP地址。在BRAS上執(zhí)行策略路由，在用戶認(rèn)證通過之后訪問互聯(lián)網(wǎng)時，根據(jù)用戶源IP或所屬用戶組指定出口，同時在運(yùn)營商的出口路由器上設(shè)置ACL，只允許所屬用戶IP地址的流量通過。

此種方案簡單易部署，運(yùn)營商之間協(xié)同實(shí)現(xiàn)用戶接入，雙方可共同計費(fèi)，方便對帳以及費(fèi)用拆分，并實(shí)現(xiàn)對全校用戶的統(tǒng)一管理。

4)辦公區(qū)IT設(shè)備共享方案

對于辦公區(qū)的IT設(shè)備，例如打印機(jī)、傳真機(jī)等設(shè)備，需要對本區(qū)域的終端互聯(lián)并實(shí)現(xiàn)共享，同時對于外區(qū)域設(shè)備不可見。可采取兩種方案接入： 1.認(rèn)證方案

對于這些IT設(shè)備進(jìn)行MAC接入認(rèn)證，在后臺輸入MAC地址和VLAN，設(shè)備上電以后申請IP地址，如MAC匹配則認(rèn)證通過并且下發(fā)策略，通過ACL限制只允許該區(qū)域所在的終端IP地址訪問，或者只允許特定的用戶訪問。該方案的優(yōu)點(diǎn)在于安全可控，而缺點(diǎn)在于配置工作量較大。

2.局域網(wǎng)方案

在一個區(qū)域通過接入交換機(jī)或者匯聚交換機(jī)將終端放到一個VLAN下，由該區(qū)域用戶自行規(guī)劃IP地址并實(shí)現(xiàn)共享，該IP網(wǎng)段在BRAS上不被識別因此也不會發(fā)布到學(xué)校網(wǎng)絡(luò)中去。用戶如果需要上線則可以進(jìn)行PPPoE撥號或者將網(wǎng)卡改成DHCP方式獲取地址通過IPoE上線。該方案優(yōu)點(diǎn)在于配置工作量小，符合辦公區(qū)老師的平時辦公習(xí)慣，缺點(diǎn)在于局域網(wǎng)缺乏隔離，存在原有的環(huán)網(wǎng)或ARP攻擊，而且只能在小范圍內(nèi)共享，不能靈活進(jìn)行配置。

5)實(shí)驗(yàn)室和學(xué)院的專線接入

針對實(shí)驗(yàn)室和學(xué)院的專線接入采用以太網(wǎng)二層專線接入方式。專線（Leased Line）接入業(yè)務(wù)是指將SR8804-X的某個以太網(wǎng)接口或者接口下的某些VLAN整體提供給一組用戶使用的業(yè)務(wù)。一條專線下可以接入多臺計算機(jī)，但是在SR8804-X上只表現(xiàn)為一個用戶，SR8804-X對專線進(jìn)行統(tǒng)一的認(rèn)證計費(fèi)、帶寬控制、訪問權(quán)限控制以及QoS控制。

6)DAA根據(jù)目的地址計費(fèi)

DAA(destination address accounting)是“根據(jù)目的地址計費(fèi)”的英文縮寫。

該方案實(shí)現(xiàn)了對用戶接入業(yè)務(wù)訪問目的地址的差別進(jìn)行管理，根據(jù)不同目的地址定義不同的費(fèi)率級別進(jìn)行收費(fèi)和不同的網(wǎng)速控制。在校園網(wǎng)內(nèi)，用戶上線后一般訪問教育網(wǎng)內(nèi)不收費(fèi)或者收很低的費(fèi)用，而且是不限速的，而如果訪問教育網(wǎng)外的Internet，需要收取較高的費(fèi)用，同時限制一定的帶寬，通過此功能可以實(shí)現(xiàn)訪問校內(nèi)資源不計費(fèi)，訪問外網(wǎng)或是教育網(wǎng)采用不同的計費(fèi)策略。

7）教師在不同地點(diǎn)上線采用不同的計費(fèi)策略

教師在辦公區(qū)辦公時上網(wǎng)進(jìn)行認(rèn)證不計費(fèi)，在家屬區(qū)上網(wǎng)時進(jìn)行計費(fèi)。教師在辦公區(qū)上線時，也要能夠支持同一賬戶在家屬區(qū)同時上線，并且進(jìn)行計費(fèi)。SR8804-X根據(jù)用戶上線攜帶的不同VLAN或是Option信息通過Radius報文上報到深瀾認(rèn)證計費(fèi)系統(tǒng),，在認(rèn)證計費(fèi)系統(tǒng)上可以根據(jù)這些信息做漫游計費(fèi)，在特定的源地址和VLANID可以不做明細(xì)計費(fèi)，同時允許多個用戶同時撥號，統(tǒng)一計費(fèi)。2)針對用戶身份權(quán)限和計費(fèi)運(yùn)營的管理 認(rèn)證方式分析

在寬帶接入中，按用戶與網(wǎng)絡(luò)設(shè)備之間的通信方式，可將認(rèn)證分為以下三種：（1）PPPoE認(rèn)證（2）Portal認(rèn)證（3）802.1X認(rèn)證 1.PPPoE認(rèn)證

PPPoE協(xié)議允許通過一個連接客戶的簡單以太網(wǎng)啟動一個PPP對話。

PPPoE的建立需要兩個階段，分別是搜尋階段和點(diǎn)對點(diǎn)對話階段。當(dāng)一臺主機(jī)希望啟動一個PPPoE對話，它首先必須完成搜尋階段以確定對端的以太網(wǎng)MAC地址，并建立一個PPPoE的對話號（SESSION_ID）。

在PPP協(xié)議定義了一個端對端的關(guān)系時，搜尋階段是一個客戶-服務(wù)器的關(guān)系。在搜尋階段的進(jìn)程中，主機(jī)（客戶端）搜尋并發(fā)現(xiàn)一個網(wǎng)絡(luò)設(shè)備（服務(wù)器端）。在網(wǎng)絡(luò)拓?fù)渲?，主機(jī)能與之通信的可能有不只一個網(wǎng)絡(luò)設(shè)備。在搜尋階段，主機(jī)可以發(fā)現(xiàn)所有的網(wǎng)絡(luò)設(shè)備但只能選擇一個。當(dāng)搜索階段順利完成，主機(jī)和網(wǎng)絡(luò)設(shè)備將擁有能夠建立PPPoE的所有信息。

搜索階段將在點(diǎn)對點(diǎn)對話建立之前一直存在。一旦點(diǎn)對點(diǎn)對話建立，主機(jī)和網(wǎng)絡(luò)設(shè)備都必須為點(diǎn)對點(diǎn)對話階段虛擬接口提供資源。

PPPoE的缺點(diǎn)：需要安裝終端軟件。

PPPoE的優(yōu)點(diǎn)：成熟穩(wěn)定，是應(yīng)用最廣泛的認(rèn)證接入方式；客戶端穩(wěn)定可靠，兼容性好；安全性高。

2.Portal認(rèn)證

基于Portal的認(rèn)證方式，適用于各類用戶接入方式。其特點(diǎn)是：用戶在計算機(jī)上不必安裝任何撥號軟件，只需要上網(wǎng)時打開瀏覽器，訪問Portal(WEB)認(rèn)證頁面并輸入用戶名和口令，即可完成認(rèn)證過程。

H3C公司BRAS系列的(Portal)WEB認(rèn)證的處理流程如下：

假設(shè)用戶是以DHCP方式獲得IP地址，其認(rèn)證流程如下：

（1）用戶主機(jī)配置成通過DHCP動態(tài)獲取IP地址后，用戶主機(jī)初始化并發(fā)送DHCP申請包，此包經(jīng)用戶側(cè)設(shè)備轉(zhuǎn)發(fā)到BRAS。BRAS做DHCP Relay將該包轉(zhuǎn)發(fā)至DHCP服務(wù)器。DHCP服務(wù)器對DHCP申請包以響應(yīng)，給用戶分配用于認(rèn)證的IP地址。

（2）BRAS接收到DHCP響應(yīng)包，轉(zhuǎn)發(fā)到相應(yīng)的用戶主機(jī)并形成IP地址、MAC地址和VLAN端口的對應(yīng)關(guān)系，在用戶未通過Portal認(rèn)證以前，通過ACL來限制該用戶主機(jī)的訪問權(quán)限，如可以限制用戶只能訪問一些包括門戶網(wǎng)站在內(nèi)的一些免費(fèi)網(wǎng)點(diǎn)（允許訪問的目的地在網(wǎng)絡(luò)設(shè)備上可以配置）；

（3）用戶啟動IE瀏覽器后輸入任何網(wǎng)址，BRAS將用戶發(fā)起HTTP請求強(qiáng)制到Portal服務(wù)器，請求打開Portal認(rèn)證頁面。Portal認(rèn)證服務(wù)器接收到HTTP請求，通過Http給用戶返回Portal頁面。用戶在Portal頁面上中輸入用戶名和密碼并提交，該用戶名和密碼經(jīng)Portal(WEB)服務(wù)器轉(zhuǎn)交給BRAS設(shè)備；

（4）BRAS收到用戶的用戶名和密碼后，通過Radius協(xié)議將用戶名和密碼送到Radius服務(wù)器進(jìn)行認(rèn)證；

（5）如果認(rèn)證通過，BRAS會根據(jù)Radius服務(wù)器下發(fā)的認(rèn)證通過報文來修改用戶的ACL，允許該合法用戶正常上網(wǎng)。同時也會通知WEB服務(wù)器用戶認(rèn)證通過，由WEB服務(wù)器通過HTTP方式在網(wǎng)頁上通知用戶已經(jīng)認(rèn)證通過；

如果認(rèn)證不通過，BRAS會通知WEB服務(wù)器用戶認(rèn)證不通過，由WEB服務(wù)器通過HTTP方式在網(wǎng)頁上通知用戶認(rèn)證失??；

此外，H3C BRAS系列還支持基于端口的Portal認(rèn)證方式。即用戶在Portal頁面上不需要輸入任何用戶名和密碼，此時BRAS設(shè)備根據(jù)用戶的VLANID或PVC ID進(jìn)行認(rèn)證。

3.802.1X認(rèn)證

802.1X 協(xié)議起源于無線局域網(wǎng)（WLAN）的發(fā)展和應(yīng)用，WLAN具有移動性、開放性的特點(diǎn)，因此需要對用戶的端口接入進(jìn)行認(rèn)證控制，以保護(hù)無線頻譜資源的利用和網(wǎng)絡(luò)安全。802.1X協(xié)議推出的主要目的是為了解決無線局域網(wǎng)用戶的接入認(rèn)證問題，通過端口認(rèn)證來防止其他公司的計算機(jī)接入本公司的無線局域網(wǎng)。

802.1X協(xié)議目前開始應(yīng)用于有線局域網(wǎng)中，通過對用戶交換機(jī)接入端口的認(rèn)證控制，達(dá)到對用戶管理的目的，目前802.1X協(xié)議已經(jīng)正式發(fā)布，整個協(xié)議為二層協(xié)議，將用戶報文分為業(yè)務(wù)報文和認(rèn)證報文兩種，為了區(qū)分這兩種報文，專門為認(rèn)證報文增加了特定的標(biāo)志（EtherType=888E），業(yè)務(wù)報文繼續(xù)采用原來的標(biāo)準(zhǔn)以太網(wǎng)報文。當(dāng)用戶上網(wǎng)時，用戶的邏輯端口(端口+MAC)狀態(tài)為鎖閉狀態(tài)，由用戶或用戶交換機(jī)發(fā)起認(rèn)證申請，認(rèn)證通過后，由支持認(rèn)證的SR8804-X對用戶交的邏輯重新配置，將端口狀態(tài)配置為開啟。

H3C公司為滿足客戶多種選擇的要求，對標(biāo)準(zhǔn)的802.1X協(xié)議做了一定的擴(kuò)充，與DHCP+WEB認(rèn)證方式結(jié)合，以滿足網(wǎng)絡(luò)運(yùn)營的要求：

a.擴(kuò)展了802.1X的握手機(jī)制，解決了有線網(wǎng)應(yīng)用中的仿冒和時長計費(fèi)準(zhǔn)確性問題； b.支持本地認(rèn)證，不需要外接 Radius 服務(wù)器，降低了小型網(wǎng)絡(luò)的建設(shè)成本和管理成本； c.802.1X系統(tǒng)支持EAP終結(jié)和EAP續(xù)傳兩種模式，可以支持現(xiàn)有的 Radius Server，保護(hù)網(wǎng)絡(luò)運(yùn)營商的投資。

d.提供多平臺的802.1X客戶端軟件(WINDOWS 98/ME/2000/XP)，客戶端軟件可以滿足網(wǎng)絡(luò)運(yùn)營的要求.e.802.1X受控端口機(jī)制靈活, 支持基于端口,基于VLAN,基于MAC地址的受控端口, 可以靈活地應(yīng)用在各種網(wǎng)絡(luò)環(huán)境, 如校園、網(wǎng)吧、小區(qū).f.通過與Portal方式配合，提供業(yè)務(wù)支撐能力。

4.三種認(rèn)證方式的比較

H3C公司BAS系列支持PPPoE和Portal認(rèn)證方式，此外H3C SR8800-X系列還支持802.1x認(rèn)證方式。

802.1X是一種二層認(rèn)證協(xié)議，不負(fù)責(zé)三層的IP地址分配的工作，同時作為新協(xié)議，還需要在實(shí)際網(wǎng)絡(luò)中對運(yùn)營適用性進(jìn)行考察，因此主要的認(rèn)證方式建議采用PPPoE和DHCP+WEB認(rèn)證。

PPPoE和DHCP+WEB認(rèn)證方式都適用于卡號用戶和固定用戶，都可以不輸入用戶名和密碼。

安全性：PPPoE和DHCP+WEB認(rèn)證方式的安全性相當(dāng)，都可對用戶名和密碼加密。IP地址防盜用、地址綁定、用戶隔離等安全措施是由二層物理隔離和網(wǎng)絡(luò)設(shè)備特殊處理實(shí)現(xiàn)，與認(rèn)證方式無關(guān)。WEB認(rèn)證不存在IP報文分片、組播復(fù)制困難和客戶端軟件的維護(hù)問題。同時WEB認(rèn)證和Portal頁面結(jié)合緊密，對用戶來說界面直觀友好，便于進(jìn)行自助服務(wù)，容易開展各種寬帶增值業(yè)務(wù)。

PPPoE協(xié)議屬于點(diǎn)到點(diǎn)協(xié)議，對于組播等寬帶網(wǎng)絡(luò)的應(yīng)用協(xié)議不支持。PPPoE包經(jīng)過BRAS設(shè)備時由于多層包封裝導(dǎo)致可能使以太網(wǎng)包超過1518字節(jié)，BRAS設(shè)備對PPPoE包重新打包，對效率有所影響。PPPoE認(rèn)證對于用戶主機(jī)需要增加額外的終端軟件，從而帶來一些的維護(hù)工作。但PPPoE使用廣泛成熟，并且更加符合用戶使用習(xí)慣，是應(yīng)用最廣泛的認(rèn)證方式。PPPoE也可以同Portal頁面緊密結(jié)合。

建議***大學(xué)校園網(wǎng)以PPPoE方式為主，Portal方式為輔。計費(fèi)方式分析

贏利是運(yùn)營商開展業(yè)務(wù)的一個主要目的。在寬帶網(wǎng)絡(luò)業(yè)務(wù)運(yùn)營中，存在費(fèi)用支付2/8規(guī)則，即20%的用戶繳納80%的費(fèi)用，80%的用戶交納20%的費(fèi)用。用戶收入的不均衡與用戶對信息需求的不均衡，決定了資費(fèi)需求的多樣性。由于用戶需求具有多層次性，因此運(yùn)營商必須能夠?yàn)椴煌枨蟮挠脩籼峁┎町惙?wù)（業(yè)務(wù)）和靈活、經(jīng)濟(jì)的計費(fèi)方式，豐富業(yè)務(wù)，實(shí)現(xiàn)按業(yè)務(wù)收費(fèi)。

H3C公司BRAS系列提供多種靈活的計費(fèi)方式，充分滿足運(yùn)營商的業(yè)務(wù)需求。BRAS的計費(fèi)功能是和Radius服務(wù)器共同完成的，BRAS本身并不存放用戶的計費(fèi)信息。通過Radius協(xié)議，向Radius服務(wù)器上報用戶本次上網(wǎng)的計費(fèi)信息（時長、流量），由Radius服務(wù)器（計費(fèi)系統(tǒng)）根據(jù)這些信息來生成用戶話單，提供用戶費(fèi)用管理、查詢、密碼修改等功能。

1.計費(fèi)策略制定依據(jù)

寬帶網(wǎng)絡(luò)制定計費(fèi)策略的依據(jù)應(yīng)該主要從用戶所能享用的服務(wù)質(zhì)量等級（SLA）的角度進(jìn)行考慮，不同等級的用戶享用不同質(zhì)量的SLA要素。

當(dāng)前可作為衡量SLA質(zhì)量的主流計費(fèi)因子的要素為：上網(wǎng)時長、上網(wǎng)流量、上網(wǎng)允許接入帶寬。

上網(wǎng)時長：表示用戶對于網(wǎng)絡(luò)部分資源（線路、IP地址）的占用時間，類比窄代電路方式下的上網(wǎng)模式。

上網(wǎng)流量：因?yàn)镮P技術(shù)采用的是帶寬共享技術(shù)，故流量更能反映用戶對于網(wǎng)絡(luò)資源的使用情況。問題為流量計費(fèi)不精確、大部分用戶網(wǎng)絡(luò)流量不能形成穩(wěn)定消費(fèi)。

上網(wǎng)允許接入帶寬：為用戶網(wǎng)絡(luò)SLA（服務(wù)等級協(xié)定）方式的較好體現(xiàn)，反映用戶最大能享用的網(wǎng)絡(luò)服務(wù)質(zhì)量情況。

實(shí)際運(yùn)營中需要綜合考慮各種計費(fèi)因子，采用SLA（服務(wù)等級協(xié)議）中用戶所能享受的計費(fèi)因子中各個因子所占的比重不同，作為實(shí)際制定計費(fèi)策略的依據(jù)。典型的如包月限時長、包月限帶寬、包月限流量、純粹的時長卡等等，制定計費(fèi)策略的根源都在于用戶享用的SLA等級不同。

2.計費(fèi)技術(shù)：一次計費(fèi)和實(shí)時計費(fèi) 一次計費(fèi)

對于采用標(biāo)準(zhǔn)Radius協(xié)議的計費(fèi)方式，計費(fèi)是通過在用戶認(rèn)證通過后由設(shè)備送出一個計費(fèi)開始信息，用戶下網(wǎng)后發(fā)一個計費(fèi)結(jié)束信息來獲取用戶上網(wǎng)時長和流量的。采用此種方式可能因?yàn)楫惓Ｇ闆r造成用戶上網(wǎng)時長和流量信息的丟失。

H3C公司BRAS系列通過設(shè)備重傳、Radius Server備份和本地暫存儲數(shù)據(jù)方式對用戶計費(fèi)信息進(jìn)行了很好的保護(hù)。

實(shí)時計費(fèi)

H3C公司BRAS系列可以根據(jù)具體的需要，進(jìn)行用戶費(fèi)率的實(shí)時計費(fèi)，也就是說，每隔一段時間（如5分鐘），就會對用戶進(jìn)行一次計費(fèi)，把用戶當(dāng)前上網(wǎng)的計費(fèi)信息（時長、流量）通過Radius報文上報給Radius計費(fèi)服務(wù)器，從而盡最大可能避免因?yàn)樵O(shè)備故障而給運(yùn)營商帶來的用戶上網(wǎng)費(fèi)用損失。

利用實(shí)時計費(fèi)方式可較容易實(shí)現(xiàn)預(yù)付費(fèi)功能。3.簡單計費(fèi)方式：包月、時長、流量、帶寬

1、包月：H3C公司BRAS系列可以通過單獨(dú)配置計費(fèi)方法為不計費(fèi)，使一些不需要計費(fèi)或不關(guān)心計費(fèi)清單的特殊業(yè)務(wù)（如包月用戶）避免產(chǎn)生大容量的計費(fèi)清單，減輕ISP的壓力。

2、時長計費(fèi)：H3C公司BRAS系列負(fù)責(zé)對每個用戶每次上網(wǎng)的時間進(jìn)行精確統(tǒng)計，并通過Radius報文上報Radius計費(fèi)服務(wù)器，計費(fèi)服務(wù)器的計費(fèi)軟件負(fù)責(zé)根據(jù)設(shè)定的時長計費(fèi)費(fèi)率計算出該用戶的上網(wǎng)費(fèi)用，并生成和保存用戶話單。

3、流量計費(fèi)：H3C公司BRAS系列負(fù)責(zé)對每個用戶每次上網(wǎng)的流量進(jìn)行精確統(tǒng)計，并通過Radius報文上報給Radius計費(fèi)服務(wù)器，計費(fèi)服務(wù)器的計費(fèi)軟件負(fù)責(zé)根據(jù)設(shè)定的流量計費(fèi)費(fèi)率計算出該用戶的上網(wǎng)費(fèi)用，并生成和保存用戶話單。

4、帶寬計費(fèi)：通過在H3C公司BRAS系列上固定設(shè)置和后臺Radius服務(wù)器帶寬屬性下發(fā)的方式，實(shí)現(xiàn)對用戶最大允許接入網(wǎng)絡(luò)帶寬的限制（CAR），實(shí)際運(yùn)營中可利用此屬性實(shí)現(xiàn)基于用戶帶寬的收費(fèi)策略。

4、預(yù)付費(fèi)功能

預(yù)付費(fèi)卡號方式也是一種靈活適用的常見計費(fèi)策略，用戶可以不用開固定帳號，通過定額上網(wǎng)卡上的帳號密碼上網(wǎng)，可以按時長或流量計費(fèi)，直到卡上金額用光為止。同樣，預(yù)付費(fèi)功能也必須由BRAS與服務(wù)器共同完成，根據(jù)具體的計費(fèi)策略，預(yù)付費(fèi)功能又可進(jìn)一步分為按時長預(yù)付費(fèi)和按流量預(yù)付費(fèi)。

1、按時長預(yù)付費(fèi)：在用戶上網(wǎng)時，Radius計費(fèi)服務(wù)器根據(jù)用戶卡上的余額和設(shè)定的時長計費(fèi)費(fèi)率計算出該用戶能夠上網(wǎng)的可用時長，通過Radius報文下發(fā)給BRAS，BRAS將實(shí)時檢測該用戶的上網(wǎng)時間，在用戶下線后，BRAS將用戶本次上網(wǎng)的時長上報給Radius計費(fèi)服務(wù)器。在用戶上網(wǎng)過程中，如果用戶的本次上網(wǎng)時長達(dá)到Radius服務(wù)器下發(fā)的用戶上網(wǎng)可用時長時，BRAS將主動切斷用戶連接，同時上報Radius計費(fèi)服務(wù)器用戶下線。計費(fèi)服務(wù)器的計費(fèi)軟件根據(jù)BRAS上報的計費(fèi)信息和設(shè)定的計費(fèi)策略計算出該用戶的上網(wǎng)費(fèi)用，

第二篇：輪胎安全升級技術(shù)

輪胎安全升級技術(shù)，汽車輪胎安全的締造者

據(jù)統(tǒng)計，截止到2013年年底，我國汽車保有量1.37億輛，并以平均每天4500輛的速度急劇增長，龐大的數(shù)據(jù)背后是輪胎安全需求的巨大市場。汽車輪胎安全升級技術(shù)是繼安全帶、安全氣囊、ABS（汽車制動防抱死系統(tǒng)）之后的第四大汽車安全保障系統(tǒng)！

我國高速公路通車?yán)锍踢_(dá)到9.6萬公里，僅次于美國的10萬公里，排在世界第二位。公安部和交通部聯(lián)合統(tǒng)計顯示：國內(nèi)高速公路70%交通事故是由輪胎隱患引起的，時速120公里以上任何一個前胎爆破，翻車死亡率100%。輪胎是汽車安全行駛的第一道生命防線，爆胎已與疲勞駕駛、超速行駛并列為汽車安全三大殺手！

輪胎安全升級技術(shù)是通過智能噴膠機(jī)將新型高分子納米材料均勻地噴涂在輪胎的內(nèi)壁上，在輪胎內(nèi)部形成一個安全防護(hù)層。當(dāng)輪胎遭到釘體刺入時安全防護(hù)層中的新型高分子納米材料能迅速將釘體緊緊包裹并及時把穿孔徹底密封，有效防止輪胎漏氣，當(dāng)釘體拔出時，新型高分子納米材料瞬間填充創(chuàng)口，依靠粘性使創(chuàng)口處的納米材料粘合。而且新型高分子納米材料不但能起到防刺扎、防漏效果，而且還具備防彈和緩沖爆胎的功效。

輪胎升級后是普通輪胎不能相比的，因?yàn)樯壓蟮妮喬コ司哂蟹缆?、防爆、防彈、不怕扎的效果外，還可以延長輪胎正常的使用壽命，同時也可提高車身平衡穩(wěn)定性，增強(qiáng)車輛整體的安全性，從而達(dá)到安全省油，節(jié)能環(huán)保的效果。

上海勢威安全輪胎升級技術(shù)，不僅具有國家發(fā)明專利和權(quán)威機(jī)構(gòu)的檢測認(rèn)證，同時也得到了廣大車主和國內(nèi)外代理商的一致認(rèn)可。你們的支持就是我們動力的源泉，上海勢威公司一定會讓這項(xiàng)技術(shù)更好的為廣大車主服務(wù)的！攜手勢威，把安全和愛帶回家！

第三篇：黨支部升級方案

為進(jìn)一步加強(qiáng)基層黨組織建設(shè)，充分發(fā)揮基層黨組織的主觀能動性，提高基層黨組織的凝聚力和戰(zhàn)斗力，不斷擴(kuò)大黨組織的覆蓋面和影響力，推進(jìn)創(chuàng)先爭優(yōu)活動深入開展，結(jié)合我局實(shí)際，特制訂如下升級方案。

一、指導(dǎo)思想

堅(jiān)持以鄧小平理論和“三個代表”重要思想為指導(dǎo)，深入貫徹落實(shí)科學(xué)發(fā)展觀，本著學(xué)習(xí)先進(jìn)，取長補(bǔ)短，真正達(dá)到“先進(jìn)上水平、中間增活力、后進(jìn)得轉(zhuǎn)化”目標(biāo)，努力實(shí)現(xiàn)基層黨組織領(lǐng)導(dǎo)班子好、黨員隊(duì)伍好、工作機(jī)制好、工作業(yè)績好、群眾反映好的“五好”目標(biāo)，整體提升基層黨組織的戰(zhàn)斗力、凝聚力和創(chuàng)造力，為實(shí)現(xiàn) “雙一”目標(biāo)，深化“三項(xiàng)行動”奠定堅(jiān)強(qiáng)的組織基礎(chǔ)。

二、總體目標(biāo)

通過開展“分類定級、對標(biāo)進(jìn)位”活動，努力在明確黨組織書記管黨職責(zé)、加強(qiáng)黨員隊(duì)伍教育管理、健全黨建工作制度、加強(qiáng)黨組織活動陣地建設(shè)、激發(fā)黨員創(chuàng)先爭優(yōu)活力等方面取得新突破，圍繞組織建設(shè)爭先進(jìn)位，推動黨建工作新提升，力求高標(biāo)準(zhǔn)定位、超前性謀劃、精細(xì)化實(shí)施，組織開展特色鮮明、形式多樣的實(shí)踐活動，使組織創(chuàng)先有平臺、黨員爭優(yōu)有路徑，不斷提升黨建工作水平。

三、主要措施

1、規(guī)范各基層黨組織活動平臺建設(shè)。扎實(shí)開展創(chuàng)先爭優(yōu)活動，以“五亮五比五創(chuàng)”活動為載體，實(shí)行 “一站式”服務(wù)，積極倡導(dǎo)“五個三”細(xì)節(jié)服務(wù)，健全完善首問責(zé)任制、限時辦結(jié)制以及重點(diǎn)工作跟蹤落實(shí)等制度。廣泛開展崗位練兵、“崗位建功做模范、我為黨旗添光彩”等活動，激勵廣大黨員立足崗位，提高業(yè)務(wù)能力，增強(qiáng)執(zhí)政為民的能力和水平，不斷提高機(jī)關(guān)干部工作能力、服務(wù)水平、辦事效率。

2、規(guī)范黨員教育管理工作機(jī)制。結(jié)合實(shí)際，在每月支部活動中，開展重溫入黨誓詞、觀看革命影片、共過政治生日、愛黨演講比賽、專題教育講座等形式多樣的主題教育，激發(fā)黨員干部加強(qiáng)黨性鍛煉的積極性和主動性。進(jìn)一步完善黨員公開承諾、黨員目標(biāo)明白卡等制度，健全完善黨員黨性分析制度，每名黨員結(jié)合工作實(shí)際，從理論學(xué)習(xí)、工作任務(wù)、廉潔自律等方面做出承諾，在“七一”和年底根據(jù)黨員的工作情況和履職承諾情況進(jìn)行民主測評和民主評議。堅(jiān)持“兩推一公示”制度，做好入黨積極分子培養(yǎng)考察和黨員發(fā)展工作，保證發(fā)展質(zhì)量，黨的基層組織和黨員隊(duì)伍充滿生機(jī)與活力。認(rèn)真抓好黨費(fèi)收繳和黨內(nèi)統(tǒng)計工作，做好黨內(nèi)生活記錄。

3、規(guī)范黨群共建工作機(jī)制。重視對工青婦工作的領(lǐng)導(dǎo)，著力在組織體系、隊(duì)伍建設(shè)、活動載體、工作制度、場所陣地等方面，深入推進(jìn)黨建帶工建、帶團(tuán)建、帶婦建工作。指導(dǎo)工青婦組織按照各自章程，獨(dú)立負(fù)責(zé)地開展工作，積極開展各具特點(diǎn)的活動，營造干部職工積極參與、努力向上、團(tuán)結(jié)緊張、嚴(yán)肅活潑的氛圍。

4、規(guī)范黨建檔案資料管理。加強(qiáng)檔案工作管理，理順檔案管理體系。根據(jù)實(shí)際，整合資源，做好文件資料的收集、整理和歸檔工作。

四、工作要求

晉位升級工作是“分類定級、對標(biāo)進(jìn)位”活動的重點(diǎn)內(nèi)容，也是確?；鶎咏M織建設(shè)年活動取得成效的關(guān)鍵。各支部要高度重視，擺在突出位置來抓；各級黨組織書記作為第一責(zé)任人，要親自研究部署、率先作出示范、加強(qiáng)督促落實(shí)，制定具體的整改措施，確保整改措施一個個落實(shí)，突出問題一個個解決，推動黨建工作再上新臺階。

第四篇：村支部升級方案

＊ ＊村級黨支部

“升級晉檔、科學(xué)發(fā)展”實(shí)施方案

為進(jìn)一步深化推進(jìn)農(nóng)村黨支部“升級晉檔、科學(xué)發(fā)展”活動，我村認(rèn)真學(xué)習(xí)號文件，“關(guān)于進(jìn)一步開展農(nóng)村黨支部升級晉檔科學(xué)發(fā)展活動實(shí)施方案”現(xiàn)結(jié)合我村實(shí)際制定“＊ ＊村黨支部升級晉檔科學(xué)發(fā)展”實(shí)施方案，請鎮(zhèn)黨委審示。

＊ ＊村黨支部

二0一二年十月二十四日

一、基本情況

＊ ＊村＊個村民小組，＊戶，＊人，有黨員＊名。2011年我村農(nóng)民人均純收入4300元，在黃官鎮(zhèn)升級晉檔，科學(xué)發(fā)展活動中屬類村黨支部

二、總體思路

以鄧小平理論和“三個代表”重要思想和科學(xué)發(fā)展觀為指導(dǎo)，深入學(xué)習(xí)貫徹黨的十七屆五中全會和縣委十二屆十次全委會議精神，按照新農(nóng)村建設(shè)“二十字”方 針總要求，進(jìn)一步加強(qiáng)我村黨組織建設(shè)，理清工作思路，完善工作制度，以促進(jìn)農(nóng)民增收為重點(diǎn)，真正把農(nóng)村基層黨組織建設(shè)成為推動科學(xué)發(fā)展、帶領(lǐng)農(nóng)民致富、密切 聯(lián)系群眾、維護(hù)農(nóng)村穩(wěn)定的堅(jiān)強(qiáng)領(lǐng)導(dǎo)核心，為農(nóng)村改革發(fā)展提供堅(jiān)強(qiáng)的組織保障。

三、目標(biāo)任務(wù)

根據(jù)“生產(chǎn)發(fā)展、生活寬裕、村容整潔、鄉(xiāng)風(fēng)文明、管理民主”的工作要求，嚴(yán)格按照黃官鎮(zhèn)村級黨組織，升級晉檔，科學(xué)發(fā)展活動考核評價指標(biāo)完成活動任務(wù)。

四、工作重點(diǎn)

（一）生產(chǎn)發(fā)展

1、主導(dǎo)產(chǎn)業(yè)：主要發(fā)展烤煙生產(chǎn)到2016年達(dá)到畝，人均烤煙生產(chǎn)收入元，大力發(fā)展核桃種植，到年人均 畝。堅(jiān)持積極引導(dǎo)村民發(fā)展生豬養(yǎng)殖，到2016年每戶戶均達(dá) 頭以上，全村年出欄生豬 頭以上。

（二）生活寬裕

以促進(jìn)農(nóng)民增收為目標(biāo)，堅(jiān)持因村制宜，逐戶都有新的經(jīng)濟(jì)增長點(diǎn)，加速推進(jìn)農(nóng)業(yè)產(chǎn)業(yè)化，大力發(fā)展勞務(wù)經(jīng)濟(jì)，不斷改善農(nóng)業(yè)基礎(chǔ)條件，加快建設(shè)具有村的社會主義新農(nóng)村，力爭到2016年全村農(nóng)民人均純收入達(dá)元奮斗，年平均增幅左右。

（三）村容整潔

1、村內(nèi)道路硬化率：充分利用一事一議，組織動員群眾修建和改造農(nóng)村公路，抓好 連戶道路擴(kuò)寬改造、通村道路養(yǎng)護(hù)及綠花化。

2、村內(nèi)環(huán)境：以清潔工程為契機(jī)，加大力度清除農(nóng)戶房前屋后和公共場所的垃圾和淤泥，實(shí)施建路、建沼、改廚、改廁和改圈，設(shè)立垃圾相，垃圾池。教育村民把柴草垛放到隱必位置，村內(nèi)環(huán)境達(dá)到“五無”標(biāo)準(zhǔn)（無土堆、柴堆、糞堆、圈 舍、廁所））改變農(nóng)村“臟、亂、差”現(xiàn)象。

（四）鄉(xiāng)風(fēng)文明

1、加強(qiáng)計生政策宣傳：深入開展婚育新風(fēng)進(jìn)萬家活動，促進(jìn)文明生育，全面落實(shí)計劃生育政策法規(guī)，強(qiáng)化流動人口管理，夯實(shí)基礎(chǔ)工作，穩(wěn)定低生育水平，確保實(shí)現(xiàn)各項(xiàng)控制指標(biāo)，使全縣符合政策生育率始終保持在。

2、平安村建設(shè)：以創(chuàng)建平安村活動為載體，大力宣傳兩率一度，確保兩率一度知曉率在我村達(dá)到,。健全村級治

保調(diào)解組織，確保全年無群體性上訪和群體性事件，無刑事案件和較大治安案件發(fā)生。

3、文明家庭創(chuàng)建率：以創(chuàng)建文明村、文明院落和文明家庭為載體，深入開展文明新風(fēng)進(jìn)萬家活動，積極倡導(dǎo)健康文明的生活方式，引導(dǎo)群眾崇尚科學(xué)，抵制迷 信，移風(fēng)易俗，破除陋習(xí)，樹立先進(jìn)的思想觀念和良好 的道德風(fēng)尚，形成文明向上的社會風(fēng)貌，全鄉(xiāng)文明家庭創(chuàng)建達(dá)到。

（五）管理民主

1、班子建設(shè)；建立和完善村“三 委”聯(lián)席會議制度，加強(qiáng)黨支部在現(xiàn)行社會經(jīng)濟(jì)發(fā)展中的作用。

2、黨員隊(duì)伍建設(shè)：嚴(yán)格落實(shí)每年至少發(fā)展 1名 歲以下年輕黨員的要求，嚴(yán)格執(zhí)行《不合格黨 員處置辦法》，嚴(yán)把“入口”，暢通“出口”，純潔隊(duì)伍，黨員活動開展正常，黨員作用發(fā)揮好。認(rèn)真抓好村級后備干部隊(duì)伍建設(shè)，按照現(xiàn)任干部 1：1 的比例，建立完善村級后備干部人才庫，加大培養(yǎng)、選拔力度，促進(jìn)盡快成長。

3、村級組織活動場所建設(shè)：堅(jiān)持“四化”標(biāo)準(zhǔn)，力提升村級組織活動場所品位和綜合服務(wù)功能；進(jìn)一步規(guī)范活動場所管理，充分發(fā)揮村級活動場所的綜合效益。力爭我村級活動場所都在平方米以上，服務(wù)功能齊全，作用發(fā)揮好，社會效益明顯。

4、黨務(wù)村務(wù)公開：全面推行村干部值班制度、農(nóng)村工

作“四議制”，嚴(yán)格落實(shí)黨務(wù)、村務(wù)公開制度，規(guī)范公開內(nèi)容、嚴(yán)格公開程序、靈活公開形式，明確公開時間，確保公開效果，群眾滿意率達(dá)到以上。

5、民主測評：工作業(yè)績、工作作風(fēng)、辦事能力得到群眾充分認(rèn)可，群眾滿意度高，測評分值達(dá) 分以上。

村黨支部

二0一二年十月二十二日

第五篇：網(wǎng)絡(luò)升級改造經(jīng)驗(yàn)交流

網(wǎng)絡(luò)升級改造經(jīng)驗(yàn)交流

根據(jù)總公司2010年網(wǎng)絡(luò)升級改造工作的總體安排，今年年初昔陽分公司分別進(jìn)行了工作任務(wù)部署和全體職工動員會議，并結(jié)合昔陽的實(shí)際情況，為完成網(wǎng)改工作，昔陽分公司做了以下幾方面的工作。

一、網(wǎng)改人員的選聘

公司提前進(jìn)行了網(wǎng)絡(luò)改造人員的社會招聘工作，通過電視媒體利用正月期間連續(xù)播出招聘廣告。3月初對招聘報名的70多人進(jìn)行技能操作測試，應(yīng)聘人員逐一進(jìn)行考核，評判打分，擇優(yōu)錄用,從中選擇了20人作為網(wǎng)絡(luò)改造的補(bǔ)充力量，并對招聘人員依據(jù)總公司“網(wǎng)絡(luò)建設(shè)標(biāo)準(zhǔn)”，“網(wǎng)絡(luò)設(shè)計施工規(guī)范”進(jìn)行了網(wǎng)絡(luò)基礎(chǔ)理論、實(shí)際操作技能、施工安全、施工隊(duì)伍管理等方面進(jìn)行了培訓(xùn)，隨后對氣象局宿舍區(qū)進(jìn)行了試點(diǎn)改造，的技能，并在實(shí)踐中得到提高。

二、網(wǎng)改隊(duì)伍的組成在組建網(wǎng)絡(luò)改造施工隊(duì)伍方面，全制度管理”和“有線電視施工安全操作規(guī)程”等管理制度，一責(zé)任人，全面樹立安全第一的工作意識，進(jìn)度。施工隊(duì)組建以分公司技術(shù)力量為主，調(diào)人員，包括從辦公，后勤，機(jī)房等方面抽出勘探技術(shù)組，每隊(duì)以4老帶隊(duì)長均為分公司技術(shù)元老，具有高度的責(zé)任意識和管理經(jīng)驗(yàn)。

三、施工隊(duì)伍的具體分工隊(duì)長：全面負(fù)責(zé)施工隊(duì)的管理，做好技術(shù)，安全，協(xié)調(diào)等工作，主抓施工人員的定崗、任務(wù)分配和組織管理，全面負(fù)責(zé)施工安全。副隊(duì)長：主要抓網(wǎng)絡(luò)改造各環(huán)節(jié)中的施工工藝和技術(shù)標(biāo)準(zhǔn)，好光機(jī)和放大器工作參數(shù)的調(diào)試和終端用戶電平的測試并記錄，現(xiàn)問題隨時糾正。

資料員：具體負(fù)責(zé)施工工具和材料的管理，集，并在每一工作項(xiàng)目（光節(jié)點(diǎn)）完成前做好資料的整理，表冊和圖紙的完善。并及時交設(shè)計組，以便實(shí)施工程初驗(yàn)。司機(jī)：負(fù)責(zé)車輛的保管，保證運(yùn)輸工具的正常運(yùn)行。并協(xié)助做好材料和工具的管理，廢舊材料的儲運(yùn)。

四、設(shè)計組的職責(zé)

設(shè)計組分別由勘探設(shè)計人員和圖紙繪制人員組成，探設(shè)計，后期的數(shù)據(jù)整理、圖紙繪制、工程項(xiàng)目申請和報驗(yàn)，物質(zhì)材料的跟蹤和管理，施工的竣工項(xiàng)目的初驗(yàn)，并及時提交總公司驗(yàn)收。

五、相關(guān)部門的密切配合 市場和后勤保障部門負(fù)責(zé)在網(wǎng)用戶的核實(shí)、用戶信息的修正，網(wǎng)改后用戶區(qū)域管理的劃分（光節(jié)點(diǎn)）。物質(zhì)部門協(xié)同設(shè)計組保障材料的申報，負(fù)責(zé)督促已批項(xiàng)目的材料的到位，做好各項(xiàng)目工程材料的領(lǐng)用手續(xù)和竣工材料的核實(shí)，6新的人員結(jié)構(gòu)模式，通過實(shí)際操作檢驗(yàn)了施工隊(duì)員確定施工隊(duì)長為安全工作的第在質(zhì)量的基礎(chǔ)上求分別從分公司各個部門抽4人，分別組織3個工程施工隊(duì)伍，4名分公司人員，各有分工，各盡其職。嚴(yán)格按照設(shè)計進(jìn)行規(guī)范施工，檢查各工序的施工質(zhì)量，工程量的記錄和纜線數(shù)據(jù)的收具體負(fù)責(zé)工程前期的技術(shù)規(guī)劃、負(fù)責(zé)好廢舊纜線的回收和上交工作，“安個設(shè)計做出負(fù)責(zé)好

為了保證網(wǎng)改的順利進(jìn)行和高質(zhì)量的完成，我們制定了做到在安全的基礎(chǔ)上求發(fā)展，招收的施工人員為輔，1

用戶資料的收集，現(xiàn)場的勘

工具發(fā)放和管理。