电子政务网建设方案

WORD格式专业资料整理电子政务网建设技术建议书目 录1电子政务网建设技术建议书1前言..................................................................................................................................................32网络平台需求分析..............................................................................................................................42.1网络建设目标..............................................................................................................................62.2网络建设原则..............................................................................................................................83网络平台基础建设..............................................................................................................................93.1网络整体结构..............................................................................................................................93.2电子政务内网解决方案............................................................................................................103.3电子政务外网解决方案............................................................................................................133.4电子政务安全解决方案............................................................................................................154网络平台QOS保障.........................................................................................................................194.1QS及其功能............................................................................................................................19O4.2电子政务网络QOS设计原则....................................................................................................204.3体系结构的选择........................................................................................................................204.4H3C路由器DS模型.........................................................................................................21IFFERV4.5H3C路由器QOS实现机制.........................................................................................................234.5.1流分类...............................................................................................................................234.5.2流量监管...........................................................................................................................234.5.3DHCP标记/重标记............................................................................................................244.5.4队列管理...........................................................................................................................244.5.5队列调度和流量整形.......................................................................................................254.6QOS配置和管理.........................................................................................................................255网络管理平台解决方案....................................................................................................................275.1网管实施方案............................................................................................................................275.2运维建议....................................................................................................................................275.2.1网管运维建议...................................................................................................................275.2.2网管安全措施...................................................................................................................285.2.3路由器/交换机相关参数设置..........................................................................................286网络流量分析解决方案....................................................................................................................296.1NS技术............................................................................................................................29ETTREAM6.2方案逻辑组成............................................................................................................................306.3H3CIMCNTA解决方案功能特点..............................................................................................317用户行为审计解决方案....................................................................................................................377.1用户行为审计技术....................................................................................................................377.2H3CUBAS用户行为审计解决方案...........................................................................................388网络内部控制解决方案....................................................................................................................428.1网络内部控制的重要性............................................................................................................428.2H3CEAD端点准入方案简介.....................................................................................................428.3H3CEAD端点准入方案部署.....................................................................................................462电子政务网建设技术建议书8.4 H3CEAD解决了哪些问题 461前 言政府及事业单位一直是中国信息化的先行者，政府网络的建设已经比较完善。随着“电子政务”建设的进一步深入，政府信息化建设重点变化明显，电子政务业务系统的受重视程3电子政务网建设技术建议书度继续加强；而办公自动化、信息安全和政府门户网站建设的受重视程度显著加强。按照政府网络管理的要求，必须保障含有国家机密信息的“内网”不但要求的绝对安全。但随着电子政务、网上政府、政府自身的信息化业务系统等的发展，政府与自身各分支机构、外界相关单位信息交互的“外网”安全和互连互通就变得更为必要。此外网络的安全问题日益显得尤为重要。网络平台需求分析随着电子政务系统信息化的发展，电子政务内网网络平台逐渐从“分离的专网”向“统一网络平台”转化，成为主流的建网思路。其基本思想都是在一个统一的网络平台上为各种业务系统提供传输通道，以及方便地实现流程整合。统一网络平台解决了业务专网建设思路存在的问题，其优势如下：4电子政务网建设技术建议书利于网络扩展：当增加新的业务系统时不需要建设新的专网，而是由网络平台统一分配网络资源；当业务专网扩容时不需要单独扩容，首先通过统一网络平台扩展其容量，当统一网络平台容量不足时再考虑对整个平台进行扩容。管理成本低：统一网络平台由专门的部门统一维护，不需要每个业务部门都设置网络管理员及网管，极大地降低了管理成本。网络资源利用率高：由于各业务系统对网络资源（如带宽）的需求由统一网络平台来满足，可以根据各业务系统实际的流量动态调整带宽，充分利用网络资源。利于业务系统之间的信息共享和流程整合：由于各业务系统采用统一的网络平台，相互之间很容易实现互访，为在将来进行信息共享及业务横向提供了良好的基础。为充分满足电子政务系统信息化发展的要求，统一网络平台还需要满足以下的关键业务需求：部门系统之间的安全隔离：不同部门系统之间需要提供安全隔离，避免非法访问。电子政务系统业务系统之间的互访：部分业务系统，如领导决策公文下发数据、政策公布、业务数据上报业务等之间有相互访问的需求，随着业务纵向整合的开展各单位系统之间需要更加紧密地联系在一起；网络平台必须满足各单位系统互访的要求及安全性。不同业务系统的差别服务（COS）：不同业务系统，需要网络平台提供差别服务，诸如电子政务系统对OA办公和语音通话等有很大的需求，数据、视频和监控对带宽、实时性有不同的要求。为业务系统提供灵活的网络拓扑：各应用系统的业务网络逻辑模型是不同的，有的业务需要星型结构的网络，有的系统需要网状结构。电信级的可靠性：电子政务网是政府系统关键业务平台，其网络平台必须具有电信级的可靠性，在设计中要充分考虑设备、链路、路由的冗余，以及快速自愈恢复能力。可管理：建议引入电信级的网络管理和业务管理方法，以确保网络和业务运行的稳定可靠。可扩展：网络平台的设计应该是能够充分考虑可扩展性，包括链路带宽的扩展、设备容5电子政务网建设技术建议书量的扩展，以及拓朴的优化。可优化：可以将电子政务网承载的各单位系统业务看成是统一网络平台的一个“客户” 。网络平台需要对每一个客户（如监控、视频系统）等进行实时的监控，不断优化其网络资源。电子政务网方案本着先进性、现实性和经济性统一的原则进行设计，设计的网络具有高性能、高可靠性、扩展性、标准化和可管理性的特点，能灵活地根据需求提供不同的服务等级并保证服务质量。该网络将采用最先进的网络技术和高速设备，为电子政务等各类信息系统提供统一的综合业务网络平台，与原有设备和网络实现良好的互通，降低管理成本和提高管理效率。2.1 网络建设目标电子政务内外网，主要包括所需要的路由器、交换机、网管、网络准入系统、防火墙、IPS等设备及工程所需要的配套设备等。工程功能可实现系统的内网办公、上联市一级电子政务内网、访问 Internet 等需求。网络的建设是为业务的发展服务，综合考虑几年内业务发展及现有网络状况，电子政务内网建设要达到如下目标：电子政务内网业务数据由同一网络平台承载，电子政务网络的建设，应该考虑到网络的扩展性、可靠性、安全性。IP电话业务、监控和会议电视，为各部门工作的开展提供灵活方便的手段。数据、语音等（后续将要运行的监控、视频）各类业务应用对网络的需求在实时性、带宽需求、接入方式、安全性、数据分布特征等方面各有其特点。因此，在进行电子政务内网的建设时，需要在网上开展IP视频业务、监控业务及会议电视等相关的业务。建立统一的综合信息系统平台网络。按照业务的需要，建设骨干网络，统一全网的安全控制措施和安全监测手段。集中网络管理，实施分级维护；进一步规范IP地址的应用；积极开展网络综合应用。将电子政务内外网建设成为一个综合、高性能的网络：综合性为多种业务应用与信息网络提供统一的综合业务传送平台。支持QOS6电子政务网建设技术建议书能根据业务的要求提供不同等级的服务并保证服务质量，提供资源预留，拥塞控制，报文分类，流量整形等强大的IPQOS功能。高可靠性具有很高的容错能力，具有抵御外界环境和人为操作失误的能力，保证任何单点故障都不影响整个网络的正常运作。高性能在高负荷情况下仍然具有较高的吞吐能力和效率，延迟低。安全性具有保证系统安全，防止系统被人为破坏的能力。支持 AAA功能、ACL、IPSEC、NAT、ISPkeeper、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志等安全功能以及 MPLSVPN。扩展性易于增加新设备、新用户，易于和各种公用网络连接，随系统应用的逐步成熟不断延伸和扩充，充分保护现有投资利益。开放性符合开放性规范，方便接入不同厂商的设备和网络产品。标准化通讯协议和接口符合国际标准。实用性具有良好的性能价格比，经济实用，拓扑结构和技术符合骨干网信息量大、信息流集中的特点。易管理为达到集中管理的目的，网络平台支持虚拟网络，并可与路由器、骨干和局域网交换机配合，整个网络可以进行远程控制。集中网管具体方案参见网管部分的描述。7电子政务网建设技术建议书有效性保证5年以内硬件设备无需升级，就可满足一般业务的需要，且运行稳定可靠。2.2 网络建设原则为达到网络优化和将来扩展的目标要求， 在电子政务内外网，应始终坚持以下建网原则 :高可靠性网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持系统的正常运行。标准开放性支持国际上通用标准的网络协议 (如TCP/IP)、国际标准的大型的动态路由协议 (如BGP,OSPF)等开放协议，有利于以保证与其它网络之间的平滑连接互通， 以及将来网络的扩展。灵活性及可扩展性根据未来业务的增长和变化，网络可以平滑地扩充和升级，减少最大程度的减少对网络架构和现有设备的调整。可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。安全性制订统一的骨干网安全策略，整体考虑网络平台的安全性。可以通过VPN和VLAN实现各业务子网隔离，全网统一规划IP地址，根据不同的业务划分不同的子网(subnet)，相同物理LAN通过VLAN的方式隔离，不同子网间的互通性由路由策略决定。保护现有投资在保证网络整体性能的前提下，充分利用现有的网络设备或做必要的升级，对其他的设8电子政务网建设技术建议书备用作骨干网外联的接入设备。统一标准、统一平台网络的互联及互通关键是对相同标准的遵循，在网络中，由于有多个网络并存，要使这些网络能融合到一起，实现业务整合及数据集中等业务，就必须统一标准。在具体实施中，必须统一规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。网络平台基础建设3.1 网络整体结构电子政务系统整个网络系统划分成内网和外网，两个物理隔离的网络。内网和整个电子政务网络相连，承载上联上一级电子政务网、办公OA等业务。外网主要负载一些对外业务，如访问Internet、网站信息公示等。从政府系统行政管理和技术的角度来看，建议采用层次化的网络设计结构，这样既方便了管理，也有利于扩展和灵活布置。采用层次性设计方案的优势 :网络及路由层次清晰:分层网络结构，路由设计更清晰，可以尽量避免核心区域的路由受到边缘链路震荡的影9电子政务网建设技术建议书响。网络及业务扩展性好，降低建设成本 :采用分层结构之后，在电子政务系统内网业务扩展(带宽扩展、节点扩展)时，可以通过内网核心层扩展端口来实现。当增加一个部门或科室，直接在核心核心交换机上扩展端口，降低了投资成本，提高了网络的扩展性。分层结构在业务扩展时对网络核心层及路由规划没有影响，平滑过渡。而如果在核心交换机上直接扩容需要更改大量骨干设备的配置及路由规划。网络可靠性高:采用分层结构之后，功能模块相互独立，如 FE/GE接入、N×2M接入、核心转发由不同的设备来完成，不会相互影响，提高了整个网络的可靠性。整个网络方案在路由备份、物理位置分离、局域网链路备份、虚拟路由备份、设备级可靠性等方面做了比较充分的考虑，可有效保证电子政务网络的健壮性。便于维护采用分层结构之后，功能模块相互独立，如 FE/GE接入、E1接入、核心转发由不同的设备来完成，设备的配置大大简化，便于维护，也便于网络故障定位。采用分层结构，在业务扩展时简单高效，极大降低了管理难度。基于上面对层次化设计、局域网技术和广域网技术的分析，设计了电子政务网络。在网络的设计上主要考虑了网络的性能、可靠性、安全性以及结合国际上成熟可靠的设计思想而提出的。整个电子政务系统的内外网设计采用层次结构，除了可以满足本身业务上和实现办公自动化等的一些基本应用外，未来也可以实现远程监控、视频会议等一些增值的应用。下面介绍一下网络的总体结构。3.2 电子政务内网解决方案新建办公大楼共 23层，主机房位于第四层，分机房在 1－3层部署一间，其余每隔 2层10电子政务网建设技术建议书部署一间机房，内网的建设对各项业务的运转至关重要。下面内网的拓扑图：整个内网的主要架构特点：电子政务内网采用核心、接入的扁平化两层架构，提高了访问速度，管理更方便。网络核心处采用一台高端交换机作为网络的核心，采用双引擎双电源，增强核心设备的可靠性，同时保证数据在双引擎转发的负载分担。各楼宇的接入交换机通过千兆光纤链路上行，与核心交换机相连。整个网络千兆骨干、百兆到桌面，数据传输在链路上没有拥塞。每个分机房部署一台48口的接入交换机，接入各层的信息点。内部局域网安全隐患远远高于外部，在某些PC终端在感染了攻击性病毒后，会不停的对网络中的其他PC终端和服务器发动网络攻击，轻者导致一些用户不能正常上网，重者导致服务器和网络瘫痪。因为网络中所有数据都通过核心交换机进行转发，只要在核心交换机上扩展一块内置防火墙模块，其功能就相当于在核心交换机上的每条链路都部署了一台高性能防火墙，通过这种方式来防御下面终端的攻击。而且防火墙模块可以对不同的部门进行访问权限的划分，控制各种用户访问权限。11电子政务网建设技术建议书为防御外部和内部的4－7层的网络攻击，特别是一些恶性病毒，如木马、蠕虫病毒等，建议在网络中部署IPS系统。但把IPS设备部署到网络前端时，会出现路由器、IPS、防火墙等串行单点部署的情况，整个内网运转时一旦一台设备出现故障，会导致整个网络出口中断，后果不堪设想。我们建议将单独的 IPS设备替换成一块能在核心交换机上扩展的IPS模块，不但能有效的解决串行单点部署的情况，而且因为它部署在核心交换机上，所有经过核心交换机的数据都能经过 IPS模块过滤，对数据中心的服务器进行应用层保护，可以有效的防止DDOS攻击，和数据库数据更改等黑客行为，整网安全性进一步提高。服务器均以千兆链路直接连接核心交换机，提高服务器的访问速度。在网络的出口处，部署一台高性能的路由器，承担数据的路由转发功能，上联上一级电子政务网。在同时对内网地址做NAT地址转换（NAT地址转换的功能也可以放在核心交换机的防火墙模块上）。为有效防范非法计算机接入到上下级电子政务网内部网络中，和防范合法计算机在安全状态不满足要求的情况接入到网络中，并根据不同用户享有不同网络使用权限。内网承载的业务多为重要的业务，需要信息中心工作人员对整网的安全事件时刻关注，且网络的安全状况通常是根据各种网络设备的日志来进行分析的，为方便网络管理员对整网安全事件进行统一管理，建议在服务器区配置一台安全管理中心 SecCenter，对整网设备的安全日志进行统一收集并分析。并可生成各种形式的报告，方便向上级领导汇报。为避免多个业务系统采用不同网管软件给管理员带来的麻烦和困扰，建议对整网网络设12电子政务网建设技术建议书备、业务、用户进行综合管理，方便管理员进行统一管理。为帮助管理员方便的对设备配置文件和软件文件进行集中管理，包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能，在iMC上附送了一个中心业务组件iCC。为帮助管理员对整个网络流量进行有效监控，如可以统计设备接口、接口组、IP地址组、多链路接口的（准）实时流量信息，包括流入、流出速率以及当前速率相对于链路最大速率的比例等，建议配置一套网络流量分析系统，包括在核心交换机上扩展一块网络流量分析模块，和在智能管理中枢iMC上配置一个网络流量分析组件NTA。3.3 电子政务外网解决方案外网上运行的业务相对内网而言，虽然承载的业务重要性要低些，但在网络设计和设备选型不能降低标准。下面是电子政务外网拓扑图：整个外网的主要架构特点：网络核心处采用一台高性价比交换机作为网络的核心，配置双电源。13电子政务网建设技术建议书各楼宇的接入交换机通过千兆光纤链路上行，与核心交换机相连，整个网络千兆骨干、百兆到桌面，数据传输在链路上没有拥塞。服务器均以千兆链路直接连接核心交换机，提高服务器的访问速度。在网络的出口处，部署一台高扩展性的路由器，承担数据的路由转发功能。每个分机房部署一台48口的接入交换机，接入各层的信息点。在路由器的后端部署一台防火墙，对外网数据进行过滤，并对内网地址做NAT地址转换。此种组网方式避免了出口的单点故障，一旦防火墙模块出现问题，也不会出现断网情况，路由器本身有较强的NAT地址转换功能，可接替防火墙的职责。为避免多个业务系统采用不同网管软件给管理员带来的麻烦和困扰，建议对整网网络设备、业务、用户进行综合管理，方便管理员进行统一管理。为帮助管理员方便的对设备配置文件和软件文件进行集中管理，包括配置文件的备份、恢复以及批量更新、设备软件的备份和升级等功能，在iMC上附送了一个中心业务组件iCC。为方便管理员对终端用户的上网行为进行事后审计，追查用户的网络行为，满足相关部门对用户网络访问日志进行审计的硬性要求，建议配置一套网络行为审计系统，包括在智能管理中枢iMC上配置一个网络用户行为审计组件UBAS，和一个能生成七层日志的DIG探针。建议在外网上部署一套无线系统，无线平台将依托电子政务外网平台，采用集中控制、分布式部署的模式来建设。在电子政务外网上扩展无线插卡来实现对于全网无线系统的统一管理和配置，对前端的无线AP进行统一的配置管理及认证管理。由于外网接入层设备能够支持较好的POE功能，所以在无线网络部署时，不需要考虑其电源位置，使无线AP能够更加灵活的部署。14电子政务网建设技术建议书3.4 电子政务安全解决方案网络安全问题已成为信息时代企业和个人共同面临的挑战，电子政务网络安全状态也很严峻。现在计算机系统受病毒感染和破坏的情况相当严重，电脑黑客活动已形成重要威胁，信息基础设施面临网络安全的挑战，信息系统在预测、反应、防范和恢复能力方面存在许多薄弱环节。本次方案设计的H3C的网络设备提供很高的安全性，通过这些安全特性可用构成一个安全的网络环境。（1）端口＋IP＋MAC地址的绑定用户上网的安全性非常重要，端口+IP+MAC地址的绑定关系，H3C交换机可以支持基于MAC地址的802.1X认证，整机最多支持1K个下挂用户的认证。MAC地址的绑定可以直接实现用户对于边缘用户的管理，提高整个网络的安全性、可维护性。如：每个用户分配一个端口，15电子政务网建设技术建议书并与该用户主机的MAC、IP、VLAN等进行绑定，当用户通过802.1X客户端认证通过以后用户便可以实现MAC地址＋端口＋IP＋用户ID的绑定，这种方式具有很强的安全特性：防D.O.S的攻击，防止用户的MAC地址的欺骗，对于更改MAC地址的用户（MAC地址欺骗的用户）可以实现强制下线。（2）接入层防Proxy的功能考虑到政府系统用户的技术性较强，在实际的应用的过程当中应当充分考虑到 Proxy的使用，对于Proxy的防止，H3C公司交换机配合 H3C公司的802.1X的客户端，一旦检测到用PC机上存在两个活动的IP地址（不论是单网卡还是双网卡），H3C系列交换机将会下发指令将该用户直接踢下线。（3）MAC地址盗用的防止在网络的应用当中IP地址的盗用是最为经常的一种非法手段，用户在认证通过以后将自己的MAC地址进行修改，然后在进行一些非法操作，网络设计当中我们针对该问题，在接入层交换机上提供防止MAC地址盗用的功能，用户在更改MAC地址后，交换机对于与绑定MAC地址不相符的用户直接将下线，其下线功能是由接入系列交换机来实现的。（4）防止对DHCP服务器的攻击使用DHCPServer动态分配IP地址会存在两个问题：一是DHCPServer假冒，用户将自己的计算机设置成DHCPServer后会与局方的DHCPServer冲突；二是用户DHCPSmurf，用户使用软件变换自己的MAC地址，大量申请IP地址，很快将DHCP的地址池耗光。H3C交换机可以支持多种禁止私设 DHCPServer的方法。5）PrivateVLAN解决这个问题的方法之一是在桌面交换机上启用PrivateVLAN的功能。但在很多环境中这个功能的使用存在局限，或者不会为了私设DHCP服务器的缘故去改造网络。6）访问控制列表对于有三层功能的交换机，可以用访问列表来实现。就是定义一个访问列表，该访问列表禁止 sourceport 为67而destinationport 为68的UDP报文通过。之后把这个访问列表应用到各个物理端口上。当然往端口一个个去添加访16电子政务网建设技术建议书问控制组比较麻烦，可以结合 interfacerange 命令来减少命令的输入量。新的命令因为它的全局意义，也为了突出该安全功能，建议有如下单条命令的配置：servicedhcp-offerdeny[excludeinterfaceinterface-typeinterface-number][interfaceinterface-typeinterface-numbert|none]如果输入不带选项的命令 nodhcp-offer ，那么整台交换机上连接的 DHCP服务器都不能提供DHCP服务。excludeinterfaceinterface-typeinterface-number ：是指合法 DHCP服务器或者DHCPrelay所在的物理端口。除了该指定的物理端口以外，交换机会丢弃其他物理端口的in方向的DHCPOFFER报文。interfaceinterface-typeinterface-numbert|none ：当明确知道私设 DHCP服务器是在哪个物理端口上的时候，就可以选用这个选项。当然如果该物理端口下面仅仅下联该私DHCP服务器，那么可以直接disable该端口。该选项用于私设DHCP服务器和其他的合法主机一起通过一台不可网管的或不支持关闭DHCPOffer功能的交换机上联的情况。选择none就是放开对dhcp-offer 的控制。（7）防止ARP的攻击随着网络规模的扩大和用户数目的增多，网络安全和管理越发显出它的重要性。由于现在用户具有很强的专业背景，致使网络黑客攻击频繁发生，地址盗用和用户名仿冒等问题屡见不鲜。因此，ARP攻击、地址仿冒、MAC地址攻击、DHCP攻击等问题不仅令网络中心的管理人员头痛不已，也对网络的接入安全提出了新的挑战。ARP攻击包括中间人攻击(ManInTheMiddle) 和仿冒网关两种类型：中间人攻击：按照ARP协议的原理，为了减少网络上过多的 ARP数据通信，一个主机，即使收到的ARP应答并非自己请求得到的，它也会将其插入到自己的 ARP缓存表中，这样，就造成了“ARP欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信（即使是通过交换机相连），他会分别给这两台主机发送一个ARP应答包，让两台主机都“误”认为对方的MAC17电子政务网建设技术建议书地址是第三方的黑客所在的主机，这样，双方看似“直接”的通信连接，实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容，另一方面，只需要更改数据包中的一些信息，成功地做好转发工作即可。在这种嗅探方式中，黑客所在主机是不需要设置网卡的混杂模式的，因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。仿冒网关：攻击者冒充网关发送免费ARP，其它同一网络内的用户收到后，更新自己的ARP表项，后续，受攻击用户发往网关的流量都会发往攻击者。此攻击导致用户无法正常和网关通信。而攻击者可以凭借此攻击而独占上行带宽。在DHCP的网络环境中，使能DHCPSnooping功能，交换机会记录用户的IP和MAC信息，形成IP+MAC+Port+VLAN的绑定记录。H3C交换机利用该绑定信息，可以判断用户发出的ARP报文是否合法。使能对指定VLAN内所有端口的ARP检测功能，即对该VLAN内端口收到的ARP报文的源IP或源MAC进行检测，只有符合绑定表项的ARP报文才允许转发；如果端口接收的ARP报文的源IP或源MAC不在DHCPSnooping动态表项或DHCPSnooping静态表项中，则ARP报文被丢弃。这样就有效的防止了非法用户的 ARP攻击。本次方案设计的华三核心设备都是支持专业的安全板卡，可以在保护用户投资的情况下，增加这些板卡让网络具有更高的安全性。如果硬件安全板卡的性能不能满足流量的要求的时候，可以通过增加多个板卡起到动态扩容，负载分担的作用。18电子政务网建设技术建议书网络平台QOS保障4.1 QoS及其功能在传统的IP网络中，所有的报文都被无区别的等同对待，每个路由器对所有的报文均采用先入先出FIFO的策略进行处理，它尽最大的努力Best-Effort将报文送到目的地，但对报文传送的可靠性、传送延迟等性能不提供任何保证。网络发展日新月异，随着IP网络上新应用的不断出现，对IP网络的服务质量也提出了新的要求，例如IP监控等实时业务就对报文的传输延迟提出了较高要求，如果报文传送延时太长，将是用户所不能接受的（相对而言E-Mail和FTP业务对时间延迟并不敏感）。为了支持具有不同服务需求的监控、视频以及数据等业务，要求网络能够区分出不同的通信进而为之提供相应的服务传统 IP网络的尽力服务不可能识别和区分出网络中的各种通信类别而具备通信类别的区分能力正是为不同的通信提供不同服务的前提所以说传统网络的尽力服务模式已不能满足应用的需要 QoS。QualityofService 服务质量技术的出现便致力于解决这个问题。QoS旨在针对各种应用的不同需求为其提供不同的服务质量例如提供专用带宽减少报文丢失率降低报文传送时延及时延抖动等为实现上述目的QoS提供了下述功能：报文分类和着色网络拥塞管理网络拥塞避免流量监管和流量整形如果随着电子政务网络的扩展出现拥塞，可采用的 QOS技术有：IP优先级分类、CAR、WRED、WFQ、CBWFQ、ATMCOS等。19电子政务网建设技术建议书QOS是一个需要消耗很多处理器资源的应用，为了达到全网最好的使用效率，建议无论是采用 VLAN+ACL方案，还是采用 MPLSBGPVPN方案，建议均采DiffServ机制。在充分计算了各类业务流量的前提下，在接入路由器上采用 CAR技术对各类业务流做流量限定、设定 IP优先级；在路由器广域网接口上采用 CBWFQ技术为每一类业务提供确定带宽；通过上述技术可实现 QoS。4.2 电子政务网络 QOS设计原则建议QoS设计符合下面的原则:差异性:为不同的业务提供不同的 QoS保证；可管理:灵活的带宽控制策略；经济性:有效利用网络资源，包括带宽、 VLAN、端口等；高可用性:设计备份路径，采用具备热备份、热插拔能力的设备，并对关键的网络节点进行冗余备份；可扩展性:采用能够在带宽、业务种类增加时平滑扩容、升级的设备。4.3 体系结构的选择为了在IP网络上提供QoS，IETF提出了许多服务模型和协议，其中比较突出的有 IntServ(IntegratedServices) 模型和 DiffServ(DifferentiatedServices)模型。IntServ模型要求网络中的所有节点(包括核心节点)都记录每个经过的应用流的资源预留状态，需要通过IP包头识别出所有的用户应用流(进行MF分类)，同时为每个经过的应用流设置单独的内部队列以分别进行监管(Policing)、调度(Scheduling)、整形(Shaping)等操作。对于现在大型运营网络中的节点，这种应用流(活动的)的数量非常庞大，会远远超出节点设备所能够处理的能力，而且可扩展性差，仅适合在小规模网络中使用。20电子政务网建设技术建议书DiffServ 模型的基本原理是将网络中的流量分成多个类，每个类接受不同的处理，尤其是网络出现拥塞时不同的类会享受不同的优先处理，从而得到不同的丢弃率、时延以及时延抖动。在 DiffServ 的体系结构下，IETF已经定义了EF(ExpediteForwarding) 、AF1-AF4(AssuredForwarding) 、BE(BestEffort)等六种标准PHB(Per-hopBehavior) 及业务。此外，有些厂商实现了基于TOS的分类服务(COS)，并且这类设备已经应用在一些现有的运营网络。COS和DiffServ类似，不过比DiffServ更简单，并且不象DiffServ那样定义了一组标准的业务。DiffServ 对聚合的业务类提供 QoS保证，可扩展性好，便于在大规模网络中使用。本次工程推荐使用 DeffServ机制实现QOS。DiffServ 域将设备分为两类，边缘设备和核心设备，其中边缘设备承担了较多的工作，如流分类、标记、带宽限制、拥塞管理、拥塞避免、流量整形等。如果由单一设备全部处理，开销较大，容易形成网络瓶颈，因此需要将这些功能分布到不同的设备上去，如流分类功尽量在边缘实现。在现有网络中，建议AccessNetwork中进行流分类，并通过VLAN、802.1p等进行标记，在POP点进行带宽限制(CAR)和拥塞避免(RED)，在所有节点上基于优先级采用优先级队列调度，实现拥塞管理。如果在整个AccessNetwork中，通过在业务流经的所有二、三层设备上部CAR、队列机制，这样能够基于VLAN、802.1p等信息保证每个用户，每个业务的带宽，实际上就实现了一种类似IntServ的机制，只不过这时源还是用户，而目的不是远程用户，而是POP点(干线节点及边沿节点)。在POP点和骨干网中根据/继承802.1p标记进行DiffServ 处理，可以看作是IntServ 同DiffServ的一种结合。这种机制为用户提供了虚拟专线，其 QoS可同真正的专线相媲美。4.4 H3C路由器DiffServ 模型H3C路由器提供基于 DiffServ 的QOS模型如下图所示:21电子政务网建设技术建议书采用Diffserv/CoS的方法需要对所有的IP包在网络边缘或用户侧进行流分类，打上Diffserv或CoS标识。DS域内的路由器根据优先级进行转发，保证高优先级业务的QoS要求。骨干网络实施Diffserv/CoS，需要所有相关设备支持，特别对边沿节点有很强QOS能力需求。在边沿结点的Ingress方向，路由器通常需要进行基于MF(Multi-field)的流分类、基于用户流的流量监管、DSCP标记和重标记、队列管理和队列调度、流量整形。基于MF的流分类能力是DiffServ边沿路由器最重要的考虑因素，主要体现在允许参与流分类的报文的域(Field)的丰富程度(决定路由器识别用户流量的灵活度)、可配置的流分类规则数的多少(决定路由器识别用户流量的精细度)、流分类处理性能。Ingress方向的流量监管需要对每个用户流分别进行监管，因此需要路由器具有对大量用户流进行监管的能力。队列管理涉及Buffer管理和拥塞控制功能。在边沿的Egress方向，路由器需要进行基于DSCP的流分类、DSCP重标记/TOS标记、流量整形、队列管理和调度。如果下游域还是DiffServ域，业务流量出口前根据ISP双方的SLA可能需要进行DSCP的重标记；如果下游域是COS域，便需要进行TOS标记。Egress方向的流量整形使发出到下游域的业务流量的带宽和突发流量属性符合同下游域的运营者所签订的 SLA。核心结点需要完成基于DSCP的流分类、队列管理和队列调度，任务简单却要求在高速接口(如2.5G)时的线速处理性能。22电子政务网建设技术建议书4.5 H3C路由器QOS实现机制H3CMSR路由器是针对运营商或者企业网网络骨干及边缘应用的开放多业务路由器，设计并实现了承载包括实时业务在内的综合业务的 QoS特性，尤其对DiffServ提供了基于标准的完善支持，包括流分类、流量监管(Policing)、流量整形(Shaping)、队列管理、队列调度(Scheduling)等，完整实现了标准中定义的EF、AF1-AF4、BE等六组PHB及业务。4.5.1 流分类MSR路由器允许根据报文头中的控制域信息进行流分类， 具体可以包括下面描述的报文1、2、3、4层的控制信息域。首先输入端口号可以作为重要的分类依据，它可以单独使用，也可以结合报文的其他信息对流分类。二层的重要控制域就是源 MAC地址。三层可以参与分类的控制域包括:源和目的IP地址、TOS/DSCP字节、Protocol(协议ID)、分段标志、ICMP报文类型。四层的源和目的端口号、 TCPSYN标志也是允许参与流分类的重要信息域。MSR路由器可以对用户报文的几乎全部控制域或这些域的组合进行流分类，可以通过灵活的流分类手段精确地识别大量进入的用户业务流，充分满足组建大型骨干QoS网络时边沿结点的要求。4.5.2 流量监管流量监管也就是通常所说的 CAR，是流分类之后的动作之一。 通过CAR，运营商可以限制从网络边沿进入的各类业务的最大流量，控制网络整体资源的使用，从而保证网络整体的 QoS。运营商合用之间都签有服务水平协议 (SLA)，其中包含每种业务流的承诺速率、峰值速率、承诺突发流量、峰值突发流量等流量参数，对超出SLA约定的流量报文可指定给予 pass(通过)、drop(直接丢弃)23电子政务网建设技术建议书或markdown(降级)等处理，此处降级是指提高丢弃的可能性(标记为丢弃优先级降低)，降级报文在网络拥塞时将被优先丢弃，从而保证在SLA约定范围之内的报文享受到SLA预定的服务。4.5.3 DHCP标记/重标记标记/重标记是是流分类之后的动作之一。所谓标记就是根据 SLA以及流分类的结果对业务流打上类别标记。目前RFC定义了六类标准业务即:EF、AF1-AF4、BE，并且通过定义各类业务的PHB(Per-hopBehavior)明确了这六类业务的服务实现要求，即设备处理各类业务的具体实现要求。从业务的外在表现看，基本上可认为EF流要求低时延、低抖动、低丢包率，对应于实际应用中的Video、语音、会议电视等实时业务；AF流要求较低的延迟、低丢包率、高可靠性，对应于数据可靠性要求高的业务如电子商务、企业VPN等；对BE流则不保证最低信息速率和时延，对应于传统Internet业务。在某些情况下需要重标记DSCP。例如在Ingress点业务流量进入以前已经有了DSCP标记(如上游域是DSCP域的情形，或者用户自己进行了DSCP的标记)，但是根据SLA，又需要对DSCP进行重新标记。H3C路由器和交换机支持RFC定义的标准的DSCPDSCODE，还支持现在有些网上可能使用的COS。COS是以TOS的前三比特作为业务区分点，总共可分8个业务等级，对每一种业务等级均有特定的定义。4.5.4 队列管理队列管理的主要目的就是通过合理控制 Buffer 的使用，对可能出现的拥塞进行控制。其常用的方法是采用 RED/WRED算法，在Buffer 的使用率超过一定门限后对部分级别较低的报文进行早期丢弃，以避免在拥塞时直接进行末尾丢弃引起著名的TCP全局同步问题，同时保护级别较高的业务不受拥塞的影响。24电子政务网建设技术建议书4.5.5 队列调度和流量整形对于时延要求严格的实时业务等，可以利用内部特有的低时延调度算法满足业务要求；对于带宽要求的业务，带宽保证算法可以实现严格的带宽保证。应用时用户不必关心内部抽象的调度算法，只需要描述业务的流量特征，比如保证多少兆的带宽、峰值最多多少兆的带宽、要占剩余带宽的比例权重等H3C路由器内部将自动采用如下的一种或几种算法来调度 :LLS 低时延带宽保证算法，基于时间片的调度；NLS一般时延带宽保证算法，基于时间片的调度；PBS峰值带宽保证算法，基于时间片的调度WFQ算法，基于weight值的调度上述算法在完成队列调度的同时，也通过带宽分配和保证实现了流量整形。对于DiffServ 模型，系统为每个端口预留 6个业务队列，分别对应 BE、AF1-AF4、EF等业务类别，对 AF1~AF4以及EF队列用户可配置其流量参数，数据报文根据由流分类得到的业务类别进入不同的队列，队列根据所配置的流量参数采用不同的调度算法调度报文。4.6 QOS配置和管理QoS配置管理中配置、管理QoS分为上行和下行两个阶段。在上行首先对报文进行分类，方法有两种，一是在Diffserv域中，根据报文的服务等级标识DSCP作简单映射得到相应的QoS参数；二是在边缘，根据报文的链路层、网络层、传输层信息对报文进行复杂流分类，对匹配某条规则的流执行相应动作，动作可以分为过滤动作，或给报文加上 DSCP、对流的接入速率进行控制、将流重定向到本地或指定下一跳或MPLS的LSP。然后还要根据分类的服务级别，采用RED算法对报文进行流量控制。在下行输出时，根据上行分出的服务等级，入相应队列保证输出带宽，同25电子政务网建设技术建议书时也要进行流量控制。在不需要QoS保证不进行流分类的情况下，或者报文通过流分类没有相匹配的规则时，对报文作尽力转发(BestEffort)处理。以下根据配置的相关性分Diffserv的配置、复杂流分类的配置和流控算法的配置三部分描述配置方法。QoS配置管理的内容主要包括ACL配置，ACL应用配置，行为聚集表配置，上下流控配置，队列配置，采用配置管理，采样数据浏览。ACL配置包括:规则配置，动作配置，时间段配置。规则的配置主要涉及到链路组配置。动作的配置主要涉及到流量参数配置。队列配置主要涉及到流量参数配置。因此在配置设备ACL应用时必须顺序完成以下几个步骤:链路组配置，流量参数配置，规则配置，动作配置，时间段配置，ACL配置，最后将一条ACL应用到对应的接口上，或进行全局应用。QoS管理中，可以完成下面性能数据的统计:流队列转发字节记数、流队列包转发记数、流队列尾丢弃字节记数、流队列颜色丢弃字节记数、规则匹配记数、监管绿色包个数、监管黄色包个数、监管红色包个数等。26电子政务网建设技术建议书网络管理平台解决方案信息化的深入对各行各业都产生了及其深远的影响，政府行业也不例外。信息化对政府行业的影响，毫无疑问是向着正面方向发展，信息化在政府行业中起着越来越重要的作用。随着网络基础架构日趋复杂，传统的设备命令行、简单的管理工具已经不能够满足网络管理的需求。业界的经验证明，选择一个优秀的网络管理系统是保证网络最大可用性的有效手段。5.1 网管实施方案在电子政务内外网各配置一套全网网管中心系统（对整个网络的设备及链路进行监控管理）。全网网管中心全面负责全网设备的管理，能对全网所有设备进行监视和控制。5.2 运维建议5.2.1网管运维建议根据上下级网管中心的操作职能，建议将网管人员分为以下几种角色。网管中心系统管理员维护人员业务发放人员各个角色的权限不同，分别为：角色名称主要工作职能技术等级网管中心系统1.监控全网运行状况高管理员2.分析网络性能3.组织网络规划网管维护人员1.监控本地网运行状况中2.负责日常设备具体维护27电子政务网建设技术建议书分析处理突发故障业务发放人员 发放具体业务 一般5.2.2网管安全措施网管的安全管理，操作员的帐号与 IP地址、登录时间等进行绑定，在一定范围限定非法入侵。进行网管组网设计时，设备的业务网段与网管的管理网段进行隔离， 例如：采用VLAN隔离的方式，业务用户无法访问网管网。网管增加登录、命令操作等方面的日志功能。5.2.3路由器/交换机相关参数设置SNMP相关版本设置SNMP协议的相应版本统一。SNMP设置团体名SNMP采用团体名认证，与设备认可的团体名不符的 SNMP报文将被丢弃。可将对应省调的团体设置为读写（ read-write）访问模式，而将对应各地调的团体设置为只读（read-only）模式，不同地区的团体名设置成不同。具有只读权限的团体只能对设备信息进行查询，而具有读写权限的团体还可以对设备进行配置。Trap报文相关属性设置允许被管理设备主动向区网管工作站发送 Trap报文，所属设备也向网管工作站发送Trap报文。设置被管理设备发送 Trap的源地址为该设备的 loopback地址（路由器）或管理地址（交换机）。28电子政务网建设技术建议书网络流量分析解决方案因为网络中承载的业务非常丰富， 管理员需要及时的了解到网络中承载的业务，及时的掌握网络流量特征，以便使网络带宽配置最优化，及时解决网络性能问题。目前业务专网在管理网络当中普遍遭遇到了如下的问题：网络的可视性：网络利用率如何？什么样的程序在网络中运行？主要用户有哪些？网络中是否产生异常流量？有没有长期的趋势数据用作网络带宽规划？应用的可视性：当前网内有哪些应用？分别产生了多少流量？网络中应用使用的模式是什么？电子政务系统内部重要应用执行状况如何？用户使用网络模式的可视性：哪些用户产生的流量最多？哪些服务器接收的流量最多？哪些会话产生了流量？分别使用了哪些应用？6.1 NetStream技术NetStream技术是基于“流”的IP信息收集方案，一个流是指来自相同的子接口，有相同的源和目的 IP地址，协议类型，相同的源和目的协议端口号，以及相同的ToS的报文。例如，下图中就包括四条流：ClientA到WWWServer的HTTP请求流WWWServer到ClientA的HTTP应答流ClientB到FTPServer的FTP请求流29电子政务网建设技术建议书FTPServer到ClientB的FTP应答流HTTP请求， ClientA 至WWServerHTTP应答， WWWServer 至ClientAClientAWWWServerFTPServerClientBFTP请求， ClientB 至WWServerFTP应答， WWWServer 至ClientB从上例中可以很容易地理解，流是单向的，同时流也是基于协议的。形象地说，通过NetStream流可以记录下来网络中 who、what、when、where、how。NetStream是H3C公司基于“流”的概念，定义的一种用于路由器/交换机输出网络流量的统计数据方法，路由器/交换机对通过其的IP数据包进行统计和分析，并上报给数据采集机，采集机把搜集的数据包及统计数据传送到中心服务器，经合并处理后存入数据库，并进行进一步的分析处理。通过对上述原始、详细的基本IP数据流进行分析，准确把握网络运行状态，准实时发现网络异常情况并进行处理，也能支持面对业务应用的精细管理和计费。NetStream技术可利用网络中数据流创造价值，并可在最大限度减小对路由器/交换机性能的影响的前提下提供详细的数据流统计信息。6.2 方案逻辑组成iMCNTA解决方案包括：网络设备、DIG日志采集器（可选）、iMCNTA网络流量分析组件，三部分之间的关系如下图所示：30电子政务网建设技术建议书1）网络设备提供NetStream技术接口的网络设备，负责对设备各个端口进出的网络报文进行流分类统计，然后打包输出。2）DIG日志采集器适用于配合不支持 NetStream技术的网络设备进行流量分析的组网环境， DIG日志采集器过滤和统计 DIG日志报文，形成DIG日志输出。DIG采集器有以下两种方式对网络设备端口的数据报文进行采集：1、从镜像端口采集对于支持镜像端口的交换机、 路由器设备，可以将镜像端口直接同 DIG日志探针组件的采集网卡相连，实现数据采集。此类采集方式，需要设置设备镜像端口，保证镜像端口和采集网卡的类型匹配、带宽匹配。2、分流器采集在设备不支持镜像端口的情况下， 为了不影响设备性能，比较专业的采集方案是采用分流器，从设备端口接收网络数据报文。 此方案通常应用于光纤链路。3）iMCNTA网络流量分析组件iMCNTA网络流量分析组件是本方案的核心，其根据不同应用对采集来的流量数据进行详细的分析处理。使用分布式数据集中和分析的方法，具备高效的分析样本以及细化的统计粒度。为便于网络管理人员的操作，采用基于 Web的直观的、图形化的管理界面。6.3 H3CiMCNTA解决方案功能特点多角度的网络流量分析NTA网络流量分析系统可以统计设备接口、接口组、 IP地址组、多链路接口的（准）实时流量信息，包括流入、流出速率以及当前速率相对于链路最大速率的比例。NTA网络流量分析系统可以从多个角度对网络流量进行分析，并生成报表，包括基于接口的总体流量趋势分析报表、应用流量分析报表、节点（包括源、目的IP）流量报表、会话流量报表等几大类报表。31电子政务网建设技术建议书总体流量趋势分析总体流量趋势报表可反映被监控对象（如一个接口、接口组、IP地址组）的入、出流量随时间变化的趋势。图形化的统计一览表提供了指定时间段内总流量、采样点速率最大值、采样点速率最小值和平均速率的信息。对于设备接口，还可提供带宽资源利用率的统计。支持按主机统计流量Top5，显示给定时间段内的流量使用在在前5名的主机流量统计情况，以及每个主机使用的前5名的应用流量统计。同时还支持流量明细报表，可提供各采样时间点上的流量和平均速率值。应用流量分析应用流量分析报表反映被考察对象（如一个接口）的流入（或流出）方向上，带宽被各种网络应用占用的比例随时间变化的趋势，包含报表统计时间内的该应用的总流量、平均流速和占所有应用总流量的百分比等。同时还支持对该应用的流量信息进一步的数据挖掘，分析使用该应用流量的最大来源和目的地址TopN列表。32电子政务网建设技术建议书来源目的会话流量分析来源目的会话流量分析报表反映被考察对象（如一个接口）的流入（或流出）方向上，在指定时间范围内总流量最大的网络节点（源、目的） 、以及网络节点间会话的排名。同时还支持对节点、会话流量进行进一步的数据挖掘，分析节点流量中使用最多的应用和与该节点通讯最多的节点、分析会话流量中双方节点使用应用的排名信息。33电子政务网建设技术建议书未知应用流量分析未知应用流量分析对系统中没有定义的 TCP、UDP应用进行了深入的分析，提供按照端口号、源IP和目的IP分组的未知应用流量信息，并可查看到某一个端口、源IP和目的IP的详细通信信息，提供按源、目的分类的流量 TopN情况。可以按协议和端口将统计到的位置应用定义为已知应用。七层应用流量分析端口不固定的应用，如 P2P、BT、eDonkey等应通过报文应用层数据的特征进行识别。基于七层应用的识别和分类， NTA可针对百兆链路提供对常见 P2P、34电子政务网建设技术建议书BT、eDonkey等应用的网络占用带宽趋势图和流量趋势图及应用的详细信息列表等报表，实现对此类应用流量的监控。系统已经将大部分常见的端口不固定的应用设定为系统预定义的应用，如：BT、DC、eDonkey、Gnutella、Kazaa、MSN、QQ、AIM等。用户可根据需要，定义其它的应用识别。七层应用识别只对 DIG日志有效，对其他类型的日志无效。主机识别系统提供了根据 IP地址获取对应的主机名称 /域名和MAC地址的功能，并可与用户接入管理进行联动，获取特定时间段内使用该IP地址的用户上网明细信息。流量审计通过流量原始日志对特定节点、协议、端口、时间范围内的流量趋势、来源、目的和会话进行审计，给出对应的通信明细（包括流量、包数、包长等），并可根据来源IP、目的IP、端口等进行分类统计，以便跟踪解决网络流量异常问题。结合拓扑、设备管理直观展示网络流量在拓扑中增加网流分析功能的菜单入口， 对设备、接口等对象直观的展示其相关流量的分析报表；设备管理页面中也能融合管理网络流量 。网络应用自定义支持网络应用的自定义。通常情况下，网络应用由一组（或多组）固定的网络协议和通讯端口的组合进行标识，如http应用对应TCP协议和80端口。网络流量分析系统会预设近三百种常用应用定义，管理员可以直接使用。根据网络的实际使用情况，管理员也可以自定义关心的应用来进行数据的统计分析。例如将FTP应用定义为TCP/21和UDP/21，NTA网络流量分析系统就会依据协议类型和端口号信息统计符合 FTP应用定义的流量信息，帮助管理员获取更为实用的网络流量统计结果。设备信息和接口分组管理NetStreamV5日志数据采集方式下，管理员可以通过设备信息管理定义系统中开启流量分析的设备和接口，并将多个接口设定为一个接口组。NTA网络流量分析系统可以依据接口组的定义，对接口组所对应的流量信息进行统一分35电子政务网建设技术建议书析，帮助管理员获取不同层次的流量统计报表。日志接收管理日志服务配置和下发功能将配置好的日志采集策略下发给接收器和处理器，其目的是为了保证系统能够根据实际需要完成日志数据信息的采集工作。同时还可以对接收器和处理器的当前状态进行检测，包括 CPU利用率、处理出错的报文、内存利用率、已用磁盘空间、磁盘访问率和空闲磁盘空间等信息，帮助管理员监控系统的运行状态。36电子政务网建设技术建议书用户行为审计解决方案iMCUBAS用户行为审计组件通过与多种网络设备共同组网，用来对终端用户的上网行为进行事后审计，追查用户的非法网络行为，满足相关部门对用户网络访问日志进行审计的硬性要求。UBAS用户行为审计组件提供 NAT1.0日志、FLOW1.0日志、NetStreamV5日志、DIG日志的查询审计功能，网络管理员可以根据网络日志对上网用户的网络行为进行审计。7.1 用户行为审计技术简单地说，用户行为审计技术是一种对用户上网行为进行记录和分析的方法，包括用户上网数据的采集和用户上网数据的分析两方面的内容。这个看似简单的数据记录与分析过程在实际应用中却面临着多方面的挑战，其主要原因是用户行为的审计必须解决以下三个相互关联的技术难点：数据采集技术网络中的信息流是纷繁复杂且稍纵即逝的，用户上网行为数据就蕴含在包括各种应用协议报文（如WEB页面、电子邮件、文件传输等）的巨大网络流量中。为了及时从中获取能有效监控和审计用户行为的数据，我们必须综合利用网络中的各种数据来源。流经网络设备的报文数据记录了每一个网络连接的详细信息，是用户上网行为的直接反映；路由器中的NAT信息包含了电子政务系统网络中内外网络的地址转换信息，是用户访问外部网络的凭据；用户接入网络时的认证、计费信息则记录了用户的上网时间、流量和认证记录。只有对这些信息进行全面的记录，才能为分析审计用户的上网行为、加强对用户的监控与管理提供第一手资料。数据清理技术即使我们通过各种技术手段采集到了来自网络中的各种网络访问信息，却不得不面对这样一个无法回避的实事： 信息量太庞大了，足以使任何一个网络管理者淹没在数据的海洋里。 我们必须能够提取出反映用户上网行为特37电子政务网建设技术建议书征的关键数据，而又不应丢失数据中的有效信息。在以审计用户上网行为为目的的前提下，对各种用户网络访问信息进行相应剪裁、过滤和聚合是获取关键数据的必要手段。这也就是所谓的数据“清理”技术——剔除重复的、冗余的、无效的和细枝末节的数据，将无序的、杂乱的数据整理成有序的、完备的数据，为审计用户行为奠定坚实的数据基础。数据分析技术单纯的数据是孤立的、静态的，如果不通过精心设计的分析手段对数据进行关联、统计与挖掘，我们辛苦采集和整理的数据也只不过是一条条枯燥、乏味的数字列表，不能给网络的管理则带来任何决策上的指导。谁访问了不法网站？谁发表了不当言论？哪里的网络经常拥塞？⋯⋯我们必须对数据进行有目的的分析与挖掘，并辅以直观的展示形态，才能使网络管理者清晰、明了地找到以上问题的答案，并采取相应的解决措施。由此可见，用户行为审计技术决不仅仅是简单的数据记录和查询，只有广泛采集网络信息，对数据进行剪裁、过滤、聚合、统计与分析，并以直观的形态展示，才能使用户行为审计技术真正成为网络管理者的决策助手。H3C在认真总结实际运营情况的基础上，以网络管理者的需求为出发点，结合公司多年来在网络建设和管理领域与各大高校合作的经验，提出了完整的用户行为审计解决方案，为用户行为审计提供了技术上的保障。7.2 H3CUBAS用户行为审计解决方案H3C用户行为审计解决方案的核心是 H3CUBAS日志分析系统。与用户行为审计技术的技术难点相对应， H3CUBAS日志分析系统由数据采集器、数据处理器和数据分析器三个部件组成，分别解决用户行为审计中的数据采集、数据清理与数据分析问题，为网络的管理者提供了丰富、直观的查询、统计和分析报表，是对用户进行行为审计和管理的技术保障。H3CUBAS日志分析系统在网络中的组网结构如下图所示，以下我们将从用户上网行为数据的采集、清理和分析三个方面介绍 H3C用户行为审计解决方案的特点。38电子政务网建设技术建议书数据采集H3CUBAS日志分析系统的采集器专门用于采集各种类型的用户上网行为数据，可以全面采集用户的上网日志、访问明细日志和 NAT转换日志，为分析审计用户的上网行为提供详尽的第一手资料。1、用户上网日志H3CUBAS数据采集器可以采集 H3C三层交换机设备中记录和发送的用户上下线日志，准确记录用户在何时上网、何时下线以及使用的IP地址。此外，H3CUBAS在H3CCAMS（AAA认证服务器）的配合下，还可以更进一步的定位用户上网时使用的接入设备