04、新格林耐特-技术建议书-OLT.doc

2009年中国新联通EPON招标 技术建议书深圳市新格林耐特通信技术有限公司二OO九年六月-2-2008年中国网通高端交换机设备集中采购项目应答须知点对点应答1、 综述随着运营商重组的尘埃落定，新移动、新电信和新联通将从原始较为单一的业务模式向全业务模式演进，固定通信业务和移动通信业务的融合已成为各运营商后续发展的重点。纵观全球领先的13家运营商中，有8家是全业务运营商，全业务运营是运营商企业发展的重要突破点。传统的固网运营商前期主要以铜缆接入为主，采用DSL的方式为用户提供宽带接入，但DSL方式能够提供的带宽非常有限，无法满足后续业务开展的带宽需求；因此目前运营商均积极推广“光进铜退”，改造现有铜缆接入网，采用光纤接入的方式为用户提供高带宽、全业务的接入平台，意图通过光纤进一步加强客户关系捆绑，并在此基础上进一步布局叠加3G业务，以此抢占全业务经营的市场。光纤接入从其网络结构可以分为点到点（P2P）模式和点到多点（P2MP）模式；P2P模式以传统的“MC+LAN”模式为主，劣势十分明显：占用大量光缆资源、无法实现统一有效的网络管理、业务提供能力差等；因此目前运营商关注点多为P2MP方式，也就是PON（无源光网络）模式，采用PON构建的FTTX接入网，可以提供高带宽、全业务接入，并能够充分保障业务的QoS和适应未来网络发展趋势。PON技术从90年代初就开始出现，最初出现的是基于ATM体制的APON和BPON，这两种技术由于国内没有相应的ATM骨干网络，因而在国内没有规模应用。2004年以后，EPON和GPON两种新一代的PON技术产生，国内开始对这两种技术加以关注。从目前统计来看以太网的普及率最高，占全球LAN市场的90%以上；分析数据表明，BPON将在近几年内逐步退出市场。EPON将成为亚洲PON市场的主流技术，而目前亚洲是全球最大的PON市场。由于IEEE的EPON标准化工作比ITU-T的GPON标准化工作开展得早，而且IEEE的关于Ethernet的802.3标准系列已经成为业界的最重要的标准，因此目前市场上已有的G比特级PON产品更多的是遵循EPON标准，严格遵循GPON标准的产品目前基本上还没有，目前市场上还没有成熟的GPON芯片供应；EPON产品较GPON产品更广泛的另一个重要原因是因为EPON标准制定得更宽松，制造商在开发自己的产品时有更大的灵活性； 从产业链的角度看，EPON系统最核心部分PON光发送/接收模块已经较成熟，核心TC控制模块已经规模生产（ASIC化)；由于EPON技术最先成熟，并且在日本和韩国快速形成了千万线以上的应用规模。EPON经过这几年的探索和发展，EPON在系统设备、组网模式、配套设施、运营商维护体制等各方面开始成熟。随着EPON大规模的应用使得设备成本大幅下降，目前应用EPON组件接入网的成本已经和传统铜线接入网基本相同。目前，EPON已经形成了光纤到户（FTTH）、光纤到楼（FTTB）、光纤到节点（FTTN）三种应用模式，适用场景包括高端用户、普通新增用户、既有提速改造用户家庭用户接入场景。同时在商业/集团用户接入、TDM专线业务接入、小灵通基站接入、移动基站接入等商用用户接入场景均取得突破，形成了很好的解决方案。随着EPON应用规模的不断扩大，技术成熟、成本下降、配套完备、运营体系适配。EPON在我国的应用已经渐入佳境。2、 网络建设原则n 实用性原则：以现行需求为基础，充分考虑发展的需要为依据来确定系统规模。本方案的设计充分满足了系统应用功能和性能的需求，在保证系统安全可靠的情况下，选用性能价格比高的产品。n 安全性和可靠性原则：系统应能提供网络层的安全手段防止系统外部成员的非法侵入以及操作人员的越级操作，保护网络建设者的合法利益。网络设计能有效的避免单点失败，在设备的选择和关键设备的互联时，应提供充分的冗余备份，一方面最大限度地减少故障的可能性，另一方面要保证网络能在最短时间内修复。n 成熟和先进性原则：网络结构设计、网络配置、网络管理方式等方面采用国际上先进同时又是成熟、实用的技术。设备厂商和运营商应有相关领域的丰富经验。计算机及网络技术发展十分迅速，在设计中应顺应主流技术发展，满足现有需求，考虑潜在扩充。n 规范性原则：网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准，为网络的扩展升级、与其他网络的互联提供良好的基础。n 开放性和标准化原则：建立一个可靠、高效、灵活的计算机网络系统平台，不仅着重考虑数据信息能够讯速、准确、安全、可靠地交换，还要考虑同层次网络互连，远程分部的互联，以及与相关信息系统网际互联，以充分共享资源。这些需求体现在设计时，要求提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则。n 可扩充和扩展化原则：所有网络设备不但满足当前需要，并在扩充模块后满足可预见将来需求，网络的拓扑可以灵活改变，实现如带宽和设备的扩展，应用的扩展和办公地点的扩展等。并保证建设完成后的网络在向新的技术升级时，能保护现有的投资。n 可管理性原则：随着网络规模的不断扩大，网络的管理越来越重要，管理的事务也越来越复杂。整个网络系统的设备应易于管理，易于维护，操作简单，易学，易用，便于进行网络配置，网络在设备、安全性、数据流量、性能等方面得到很好的监视和控制，并可以进行远程管理和故障诊断。3、 EPON解决方案 整网解决方案 FTTB解决方案 网络方案说明OLT EL5600通过核心汇聚交换机连接到新联通的多业务核心城域网。城域网核心连接BRAS和网管系统，作为用户接入认证和设备的统一管理；OLT通过POS分光器直接连接到大楼，路边，或者家庭用户。实现FTTB,FTTC和FTTH的应用。除了局端EL5600和用户端EN2000系列接入ONU之间全程采用无源的分光器。方便统一管理和维护，提高网络的稳定性和可靠性。基于光纤传输高带宽的特点，能够迅速的部署多业务，比如高速数据接入，VoIP，VOD等应用。基于光纤传输长距离的特点，最大能够达到20Km，我们能够迅速的实现大区域甚至边缘区域的接入能力。 方案特点：l 网络中无有源设备，可靠性高，显著降低维护费用；与以太网宽带接入相比不受供电故障影响，不存在园区汇聚设备故障问题PON属于无源光学网，网络中无有源电子器件，这意味着维护成本将显著降低。 由于网络组件数量少，因此故障点也将相应减少，进而运营支出也会最大程度地降低。与以太网交换机宽带接入相比每年能节约至少几百万的电费（一个地市）。l 可提供最高20KM的远距离高带宽接入，且带宽可动态调整;以太网的100m以太网的100m传输距离是其作为接入技术的最大问题之一，通常只能通过级联交换机延长传输距离，有源设备的增加提高了建网成本，也会导致网络中增加故障点，大大降低网络的可靠性；xDSL：1-5 KMxDSL技术的传输距离与最大带宽有密切关系，运营商为兼顾距离较远的用户、统一计费标准，通常不会开通xDSL所能达到的最高速率，这样会使用户实际的接入速率比较低；对于只有少数用户的地区，运营商同样需要将昂贵的IP DSLAM设备部署在用户附近； PON：10-20 KM PON可以在高带宽的情况下保证10-20 KM的传输距离，完全克服了以太网和xDSL技术在距离和带宽上的局限性，使接入方案的部署更为灵活；l 每个用户上行带宽独享，可提供类似TDM的专线质量；与以太网宽带接入相比不仅是接入带宽更高，而且带宽可动态调整，并且上行独享用户对带宽的需求增长很快，目前其它的接入技术不能满足用户对带宽的需求增长； PON技术提供的带宽可在相当长时间内满足用户对带宽的需求；l 组网模型不受限制，可以灵活组建链型、树型、星型等网络PON（无源光网络）的技术优势组网灵活树型、星型、链型等组网结构各根据需要灵活使用；网络结构没有特定的限制，可适用于任何光纤可达的环境；6、网络管理网络管理系统一运营网络中非常重要的一部分，通过一套功能完善的网管系统，可以有效地对整个网络进行配置、监控、定位故障、部署安全策略等，达到使整个网络成为一个可管理、高性能、高可用性的系统。本方案建议采用集中式网管模式，即在市政府中心建立一个集中的管理平台，对全网进行统一管理。网管系统建议采用新格林耐特的GBNView网管系统。功能包括拓扑与视图管理、故障管理、性能管理、配置管理、安全管理、策略管理、资源管理、日志管理、系统管理等。6.1 网络管理概述一般情况下，网络管理被认为是一种服务，它利用多种工具、应用及设备帮助管理员对网络系统进行监控和维护，以保证网络系统处于良好的运行状态。虽然存在很多不同的网络管理系统，但它们的基础体系结构基本相同，被管理的设备（可能是一台计算机或其它网络设备）收集到问题时，会向管理实体发送警告信息，受到这些警告信息后，管理实体会通过运行一个或一组程序产生一些动作，如通知管理员、记录事件日志、关闭系统或试图自动修复该系统。管理实体一般情况下会轮询（自动或用户定义）各个端设备中一些变量的值以确定它们是否在允许的范围之内。被管理设备中运行的Agent会响应查询，实现方式是Agent维护一个管理数据库，并通过网络发送给网络管理系统中的管理实体。目前比较流行的网络管理协议有SNMP、CMIP（Common Management Information Protocol）。ISO的网络管理模型定义了网络管理系统的主要功能，它包括以下五个方面：性能管理（Performance management） 主要任务是评估网络的性能以使它维持在一个可接受的水平。网络性能变量主要包括网络的吞吐量、用户响应时间等。网络管理系统通过对这些变量的评估来确定网络的性能是否在可接受的水平。性能管理还应该提供一些别的与性能有关的功能，如可以仿真网络规模的增大是如何影响网络性能的等。配置管理（Configuration management） 配置管理的任务是监控网络和系统的配置信息，以便不同版本的软件和硬件对网络操作的影响可以被跟踪和管理。任何一台网络设备都有一些和它相关的版本信息，如一台工作站可能包括OS版本、网卡驱动版本、TCP/IP版本、串口控制器版本等，配置管理子系统用一个数据库存储信息，以便发生问题是可以提供有用的线索。记帐管理（Accounting management） 记帐管理的任务是管理网络利用情况的变量，使人或团体对网络的应用可以被适当地控制，以便更加合理、有效地分配网络资源。故障管理（Fault management） 该子系统的责任是发现、记录、隔离网络故障，并通知用户，在可能的情况下还会自动地修复故障以保证网络系统的有效运行。安全管理（Security management） 安全管理子系统的任务是根据本地策略控制对网络资源的访问，以防止网络系统被有意或无意地破坏、敏感信息被没有授权的用户访问。该系统通过将网络资源划分为经授权和未经授权的两部分（对用户而言）来控制用户的访问。6.2 GBNView网管系统特性GBNView网络管理软件，位于网络解决方案的管理层，能够实现网元管理、网络管理的功能，可以对新格林耐特公司的全线以太网交换设备进行统一管理和维护，是专门用于管理数据通信设备的高度用户化、电信级、跨平台、可实现分布、分级功能的综合网管产品。GBNView与新格林耐特公司的以太网交换产品一起为用户提供全网解决方案，具有高度的灵活性和可扩展性等特点，适用于多种网络规模。产品特点 强大的系统支持能力GBNVie采用Java语言开发，可支持windows2000/windowsXP /Unix/liunx等各种操作系统，由于Java语言本身就具有高安全性，从而也增强了软件的安全性，并且新格林耐特网管系统可根据客户的要求进行二次开发，使网管软件更加贴近客户，真正为用户提供量身定造的服务。 良好的系统兼容性GBNView可接受其他厂商网元管理系统的嵌入，包括HP的OpenView，IBM的NetView，SnmpC和WhatsUp Gold等，嵌入后可在上述网管软件中发现和拓扑新格林耐特公司交换设备，并进行管理。 友好的使用界面GBNView系统操作界面图形化、人性化，操作简便直观，视图分网络视图和分组视图。网络视图：GBNView能自动发现网管系统所在的IP子网以及可到达的所有IP子网.并且可以探测到IP子网内的所有设备和GN.Link所探测到的楼道级交换机。分组视图：用户可以根据设备的实际物理位置和链路状态自行设置设备的名称和规划网络拓扑图。可以使用户非常准确的确定设备的所处的物理位置，便于找到设备故障点。 丰富的管理功能性能管理：分为实时监控和历史性能统计两个部分，实时监视可以实时反映设备各端口的收发包情况；历史性能统计可以对客户定义的统计项进行长期采集并生成报表，一目了然。拓扑管理：能够根据用户的配置自动对网络中的网元进行发现和拓扑，一次配置终身使用。通过GN.Link自动生成的拓扑图，并能对网元进行分区域或分网段管理。GN.Link交换机不需要公网IP地址，可以互相级联，服务端交换机通过GN.Link实现对客户端的集群管理。配置管理：提供强大的功能和友好的界面，对设备进行各种参数进行配置，远程版本升级和配置文件更新。故障管理：对设备进行实时故障跟踪，生成告警，告警可以多种方式通知网络管理员，如声音、短信、email等，充分考虑了不同客户的不同需要，客户可以根据自己的实际需要选择一种或几种方式处理告警；安全管理：为网络管理员分配权限，进行分级分域细分到设备的完善权限划分；资产管理：对设备资产编码、售后服务、具体物理位置等资产信息进行统一管理，最大限度的减少了出现资产流失的机会，并极大的方便了客户获取实时的资产动态。 仿真的设备管理采用的设备图标均按实际设备原型仿真制作，便于用户进行直观的操作。 完善的故障告警机制支持多种告警方式(如图像、声音、EMAIL、手机短信等)，网络管理员可以及时发现并确定故障设备及故障级别，并且用户可自行设定告警的机制。 分级的权限控制支持设置不同的用户访问权限，共分四级，确保网络管理与安全。不同级别的用户可以进行不同类型的操作，同级别的用户则可以通过配置不同的管理范围来进行分区域管理，管理区域可以由管理员任意指定。 方便的维护升级支持对设备进行远程IOS升级，远程配置文件升级、将远程设备的配置文件和日志文件备份到本地，并且可以同时对多个同型号设备进行维护。 增强的业务功能支持用户管理，根据客户需求，对上网用户进行权限、速度、时间等方面的管理；支持Mac地址定位，根据GN.Link网络中上网客户的Mac地址定位客户所连接的交换机，配合分组视图，可以准确找到该用户的物理位置；此外还支持功能计划任务的设置，可以设定部分功能按照指定时间运行等。另外还提供了相应的平台管理工具和其他辅助工具。7 网络安全从计算机安全学的观点分层进行分析，计算机网络的安全包括以下几个方面：首先是物理网络的安全，含网络设备物理层的安全和网络结构的安全；第二层是操作系统级的安全；第三层为应用系统的安全；最高层是信息内容，或称为数据安全。在以上四层的安全性问题中，网络物理层的安全主要由硬件设备及机房设计来保证，网络结构的安全主要由网络拓扑及协议的设计来保证；操作系统级的安全主要由防火墙系统的设计、操作系统安全和数据库系统安全来保证；应用系统的安全主要由应用系统本身的设计保证；数据安全主要由加密和签名等技术保证。本城域网方案的目标是提供一个安全可靠的网络业务承载平台，所以此处着重探讨网络设备物理层安全、网络结构安全和应用安全等方面的内容。面对互联网指数级的发展趋势，不可否认网络面临着有关安全方面多种威胁， 这些威胁有的可能是随机的，也有可能是恶意的，但其后果都一样-妨碍用户的正常运行。所以，如何系统地全面地确保互联网本身的安全，这是一个能否持续地稳定地发展的基础之基础。从系统角度来看，网络安全不是一个简单的产品问题，网络安全首先是个系统问题。从技术角度而言，本网的网络安全和控制主要应考虑以下几个方面：1) 设备安全网络中应该重点保护的设备，设备出现安全问题时对整个网络的影响力，以及设备本身对安全攻击的抵抗和处理能力。2) 用户身份鉴别与授权身份包括鉴别和授权。鉴别回答了“你是谁”和“你在哪？”这两个问题，授权回答“你可以访问什么”。需要对身份机制谨慎部署，否则即便是最严谨的安全策略也有可能被避开。3)边界安全边界安全涉及到防火墙种类的功能，决定网络的不同区域允许或拒绝何种业务，特别是在同其它网络进行互联的时候。4) 数据的保密性和完整性数据的保密性指确保只有获准能够阅读数据的实体以有效的形式阅读数据，而数据完整性指确保数据在传输过程中未被改动。5)安全监测为检验安全基础设施的有效性，应经常进行定期的安全审查，包括新系统安装检查，发现恶意入侵行为，出现的特殊问题(拒绝业务攻击)以及对安全策略是否全面遵守等方面。6)策略管理由于网络安全涉及到以上的多个方面，每一个方面都使用多种产品和技术，对这些产品进行集中有效的管理可以帮助网络管理者有效地部署和更新自己的安全策略。具有一个统一的安全策略对安全防范的实施非常有帮助，中兴公司在网络方面提出一个完整的安全解决方案。针对以上对网络安全的考虑，以及多业务分流路由器的所起的作用，同时结合网络中实现的业务特点，建议在设计网络安全时考虑以下即个方面。7.1 设备安全网络设备安全是保证网络设备在物理上的可靠和安全，主要依靠网络设备本身的安全设计、双机冗余系统、冗余存储等技术、以及安全管理的意识保证。网络的设备安全问题主要存在于以下几个方面：u 网络硬件设备本身的不可靠性造成的故障；u 因机房环境、意外事故（例如：火灾等）导致的设备和网路故障问题；u 因机房结构设计不合理或机房管理不当所导致的主机设备物理入侵问题。针对以上安全隐患，为提高网络的物理安全性，主要对策有：选用高可靠性硬件设备；提高物理设备单机的可靠性。7.1.1 单设备冗余在系统中应选用硬件和软件均为成熟可靠的高性能产品，在国内外有很多成功案例这些产品在设计上已经考虑了一定的冗余性，本身即可提供较高的可靠性：设备具有冗余负载均衡的电源，可提供连续不断的电源供应。所有模块可热插拔，使故障限制在与模块直接相连的用户。所有设备都可实现通信处理模块级和通信端口级的冗余。7.1.2 设备间冗余对于关键的设备采用双机或多机的冗余设计方案，避免因为一点故障引起大面积服务实效。具体办法有以下几种： Hot Standby（热等待）：两台设备具有相同的配置、承担同样的功能，正常情况下，一台工作、另一台处于等待状态，只有主设备出现故障时，辅设备才被激活，替代主设备的功能。这种模式的投资利用率仅有50，但系统可靠性最高。 Hot Redunance（热备份）：两台设备可以具有不同的配置、分别承担不同的功能，正常情况下，两台机器各自进行自己的工作、同时监视对方的工作状态，其中一台出现故障，另一台被激活、替代故障设备的功能。这种模式的投资利用率远远高于第一种模式，但系统可靠性不如第一种高，尤其当一台故障时，另一台同时承担两台设备的功能，系统瞬时可靠性降低。 Load Balance（负载均衡）：两台设备分别承担不同的功能，它们不但相互备份，而且实时监测对方的繁忙程度，如果对方过于繁忙，可以接替对方承担一部分任务。这种模式投资利用率最高。本次工程设计中充分考虑了设备间的冗余，在核心层采用S6808路由交换机，可互为备份、并互联，通过OSPF实现设备端口失效后的路由收敛迂回，实现链路冗余。7.1.3 安全管理意识以上都是从技术上提高设备及整个系统的可靠性和安全性，但实际上，系统的安全威胁大部分来自人为的操作失误和故意破坏，因此必须在管理上加强安全意识：提高对机房的环境及检测报警系统的要求，注意工程的配套设计及工程质量控制；加强机房的防盗及操作人员的安全意识培训，避免设备被盗或从终端被入侵。建议在网络中对业务汇聚分流路由器和城域内网络设备本身实现一定的安全考虑：对设备本身的安全保护建议作如下考虑:1）用户口令的认证。2）用户级别的划分，将可进入到设备的管理用户分为多个级别，对不同级别的用户具有不通的访问权限。3）设置log记录，对网络设备的任何有效配置和改动均需要相应的记录。4）采用对常见的安全攻击手段的自动防护 ,中兴公司的路由器、路由交换机具备实现对网络中的恶意攻击进行防护的功能。对于用户口令安全方面的考虑：建议采用集中管理的方式，在移动网管中心配置访问控制器，所有设备的用户名、口令、权限控制都统一管理，避免因分散式管理带来的安全漏洞和管理的复杂性。在用户的资格认证方面，有四种常用的认证方式，分别是：1）固定用户名/口令；2）时效用户名/口令；3）一次性口令；4）令牌卡/软令牌。这四种方式中，在资格认证的可靠性方面，以第一种最低，第四种最高，在使用的方便性方面，则以第四种最低，第一种最高。可见安全和易用是一对矛盾体，要获得较高的安全性，就需要牺牲一些易于使用性。我们建议采用安全性较高的令牌卡或软令牌方式，对管理用户，特别是高级管理用户进行严格的资格认证，保证系统的安全性。在资格认证上，为防止他人非法盗用、破坏口令，除采用高可靠性的令牌卡方式外，还可以设置拨入者在输入N次口令仍失败后帐户失效，并及时向系统管理员通知。7.1.4 关键业务数据安全由于网络内部内需要实现对骨干业务网很多业务的接入，存在关键的数据服务器、网关服务器等，建议对于关键的服务数据器前加入防火墙实现对关键业务数据的保护。通过采用Firewall方式，设立安全区域，将服务器放置在Firewall之后，通过FireWall提供保护，在政务网内建立安全的统一网管、认证系统。7.2 网络结构安全网络结构安全是指网络在结构设计上保证不会出现单点失效，主要由网络拓扑结构的设计、网络协议的选用等等来保证。7.2.1 冗余备份链路设计在网络设计时，应注重链路的备份和冗余，尤其在核心层和汇聚层，充分考虑到汇聚节点交换机以两条链路连接到核心节点上，通过运行动态路由协议如OSPF协议实现链路的冗余备份和自动倒换，避免了由于链路故障导致网络服务中断。在接入层以太网接入方式中，通过STP（生成树协议）可实现冗余链路。7.2.2 VLAN划分采用虚拟局域网VLAN主要出于三个目的：用户隔离、提高网络效率；提供灵活的管理；提高系统安全性。因此，规划VLAN时也应该综合考虑这三方面的因素。接入层设备为EN2000系列，用于最终用户的接入。EN2000系列支持VLAN功能，为了进行不同用户间的有效隔离和互联，需要利用交换机对用户进行相应的VLAN划分。具体做法可以是将交换机的每一端口划分一个VLAN以实现所有用户间的二层隔离，此时如果需要互联，可通过上连设备的ACL功能来控制；也可以根据需要将多个交换机的不同端口划为同一个VLAN，直接实现有限制的用户互联。7.3网络应用安全谈到网络应用安全，人们首先想到的是网络黑客。确实，网络黑客几乎与网络同时诞生，黑客与反黑的斗争从来就没有停止过。要有效防止黑客，就必须首先了解黑客所使用的手段。一般说来黑客所使用的手段主要有下面几类。7.3.1 使用探测软件一般说来，有网络路由器的地方都有探测程序（sniffer program）。探测程序是一种分析网络流量的网络应用程序。IP的最基本的缺点是缺乏一种机制来确定数据包的真正来源。所有的包都含有源地址和目的地址，但是在IP包中没有任何东西可以确认IP包的源和目的地址是否变动过。显然，安全性不好的系统将是黑客进驻和安装探测软件的地方。一旦探测软件安装完毕，黑客就可以通过分析经过的所有数据流量，从而得到所需要的地址、帐号和密码等数据。其中典型的包探测程序也就是利用IP的弱点，因为它可以用来探测有效的Internet连接。一旦这种连接被检测到，包探测程序就可以利用IP的其它弱点窃取其它连接信息。7.3.2 IP 地址欺骗当一个黑客开始使用一种用以散布网络路由信息的应用程序RIP时，一种路由方式的地址欺骗就开始了。一般说来，当一个网络收到RIP信息时，这种信息是没有得到验证的。这种缺陷的结果是使得黑客可以发送虚假的路由信息到他想进行欺骗的一台主机，如主机A。这种假冒的信息页将发送到主机A的路径上的所有网关。主机A和这些网关收到的虚假路由信息是来自网络上的一台不工作或没有使用的主机，如主机B。这样，任何要发送到主机B的信息都会转送到黑客的计算机上，而主机A和网关还认为信息是流向了主机B网络上一个可信任的节点。一旦黑客成功地将他的计算机取代了网络上的一台实际主机，就实现了主机欺骗。7.3.3 DOS攻击DOS攻击也称强攻击，其最基本的方法就是通过发起大量的服务请求，消耗服务器或网络的系统资源，使之最终无法响应其它请求，导致系统瘫痪。具体实现方法有下面几种：PING/ICMP Echo Flood攻击这种攻击模式一般是发起大量的ICMP Echo请求给一个指定的目标，以达到使服务瘫痪的目的。但是需要发起这么大量的ICMP 请求是不可能从一台具有正确IP地址的主机上做到的，因为这样也会对自身产生很大的影响，发起者不得不接受同样多的回应。所以HACKER需要利用虚假的地址再发起攻击。我们可以利用源地址验证功能实现防止PING攻击。SMURF攻击SMURF攻击类似与PING攻击，是一种带宽消耗的攻击模式。它需要大量虚假ICMP请求导向到IP广播地址上。当一个包是从设备的本地网络外发送到本地网络的广播地址的时候，它被转发到这个本地网络的所有设备上。于是我们可以看到在SMURF攻击中有3大部分：发起攻击者，中间系统，和受害者。当然中间系统也可能同样是受害者。中间系统接从广播地址那里收到ICMP应答请求，当这些设备同时回答请求的时候，就会导致严重网络阻塞。防止SMURF攻击的重要措施是在路由器上配置不准广播进入的条目。我们也可以利用安全ARP功能去阻挡流量到广播地址。SYN攻击TCP SYN攻击是一种以大量虚假IP地址发起SYN握手信号消耗掉被攻击设备的资源的攻击模式。设备要做出大量的SYN回应，而三次握手却是无法正常完成，必须等待Time out之后（通常是1分钟左右）。在短时间内大量发起SYN攻击，会很快消耗完设备的资源，让被攻击者无法完成正常的TCP服务，如E-MAIL，WWW等。LAND攻击LAND攻击是SYN攻击一种演变，它似的好象主机是在自己给自己发送包，从而让系统变得不断的尝试应答自己。分布式DOS攻击（DDOS）DDOS攻击是一种更严重的攻击手段，它通过某些主机操作系统/软件的缺陷，从而操纵大量的第三方设备向目标发起攻击，扩大了DOS攻击的强度。一般来说，HACKER主要利用EMAIL或者JAVE Script等去控制其他主机，而且通常都以UNIX主机/服务器为主，因为它们是24*7工作模式，方便被HACKER在方便的时候操纵和发起攻击。通常我们需要在路由器上打开外出包过滤去防止欺骗包离开网络，同时也可以采用工具去搜索本网络中DDOS的引擎并且删除它。黑客攻击是网络应用安全的重点，但并不是全部。网络应用安全还应该包括对网络内部不同用户权限的外部访问控制（例如没有授权用户不准上Internet或不准访问与公司业务无关的娱乐性网站等）。7.4 安全控制7.4.1 访问控制列表(ACL)EL5600支持许多种不同类型的安全能力，提供了过滤和防火墙技术。对于EL5600软件本身，支持DES对称性加密算法，提供了加密口令、认证、改变配置请求许可以及提供统计信息等功能。同时采用控制访问列表（ACL）技术提供网络的安全性，完全满足不同用户的安全需求。访问控制列表(ACL)是控制包过滤(转发、阻塞、重定向)的列表。系统根据接口或电路的ACL来控制包的转发、阻塞、重定向。7