智慧司法网络培训

智慧司法网络培训智慧司法网络培训

一、项目概况智慧司法内网是依托甘肃省政法网建设省司法厅内网云计算中心、省司法厅核心、市州司法局核心和县区司法局核心，实现资源共享，快速办公的网络，各级单位通过现有的政法网接入设备接入政务内网，通过政务内网承载内网协同办公、电子邮件等系统的应用。通过购置移动智能终端使司法系统内部人员实现移动便捷办公。智慧司法外网是依托移动运营商互联网专线建设省司法厅外网云计算中心、省司法厅核心、市州司法局核心和县区司法局核心的网络，相关单位通过互联网专线接入政务外网，通过政务外网运行国家司法部相关业务系统，如行政审批系统、电子监察系统、外网办公、外网门户网站、律师考试、司法鉴定、法制宣传、法律援助、公证业务、社区矫正人员管理，实现跨部门、跨区域的信息资源共享。一、项目概况智慧司法内外网云平台采用H3C的云计算解决方案，H3云计算解决方案涵盖了网络、云软件、计算、存储四大类产品。目标是为用户在以太网和云计算相关技术基础上，实现数据中心资源的高效利用。本次项目建设中建设两套平台分别承载内网办公业务系统和外网办公业务系统

一、项目概况二、智慧司法内外网云平台1、内网云平台

内网云平台主要是承载智慧司法内网各办公业务的系统。采用H3CR390、R590及浪潮8420M3系列服务器，H3CP5730系列存储以及H3CS5820和S5800系列交换机。平台出口使用启明星辰防火墙，通过主备两条1000M裸光纤接入省司法厅核心网络。其在内部两台S5820和两台S5800之间做堆叠，使得网络更具可用性，可扩展性和可靠性。二、智慧司法内外网云平台2、外网云平台外网云平台主要是承载智慧司法外网各办公业务的系统。采用H3CR390、R590、浪潮8420M3及850系列服务器，H3CP5730系列存储以及H3CS5800系列交换机。平台出口使用启明星辰防火墙，通过主备两条100M裸光纤接入移动互联网核心。其在内部S5800和移动核心交换机之间做，使得网络更具可靠性。三、智慧司法内网1、省司法厅内网核心政务内网依托甘肃政法网，司法厅中心机房连接一号楼、二号楼等7个节点（不同的办公地点），由运营商提供100M光纤链路点对点连接，上连甘肃省政法网，形成省厅到市（州）司法局，市（州）到县（区）司法局三级网络。市（州）及县（区）接入拓扑结构

S12500核心交换机作为中心网络核心设备，通过多级交换架构，提供大容量的转发能力，完全满足大型数据中心的流量转发需求，并提供、等高可靠机制保障核心网络的稳定可靠；结合H3C其它交换机及安全、路由设备一起组成完善的解决方案。三、智慧司法内网2、市州司法局核心市州司法局考虑建设一个经济型的局域网，部署单核心、二层网络，主要实现市州司法局内部网络互连，同时需要具备一定的县级司法网络管理职能，因此，在方案设计时主要考虑网络连接，兼顾网络垂直管理功能。每个市州部署1台核心交换机，通过政法网专线与省厅内网数据中心进行连接，同时通过千兆链路与接入交换机互联，在设备上保留空余接口和槽位以便于扩展。交保障市局网络的高可靠性，保障各业务稳定运行，通过防火墙以及数据加密功能，提供对市局内网进行安全防护。三、智慧司法内网3、区县司法局核心区县司法局处于司法厅网络系统的末端，数量庞大，维护难度大，在该层次部署的设备应具有零配置开局、U盘开局的功能，利用路由器连接政法网，兼容各种广域网接口，便于部署隧道，同时提供安全功能。下挂一台交换机，提供足够多的接口以支持司法所及政务大厅等单位全面接入。每个区县部署1台全千兆接入交换机，上行通过政法网专线直接上联至省厅网络中心，下行通过交换机接入终端。四、智慧司法外网1、省司法厅外网核心司法厅外网依托移动运营商互联网主干链路连接，省厅中心节点在统办一号楼12楼机房，向下连接1#楼、2#楼等7个办公地点，由运营商提供100M光纤线路点对点连接。通过各市（州）、县（区）移动互联网专线下连市（州）司法局，县（区）司法局，有条件的乡（镇）司法所可以通过线路（由运营商提供城域网)通道接入政务外网。形成覆盖全省的三（四）级政务外网网络。四、智慧司法外网2、市州司法局外网核心市州司法局考虑建设一个经济型的局域网，部署单核心、二层网络，主要实现市州司法局内部网络互连，同时需要具备一定的县级司法局网络管理职能，因此，在方案设计时主要考虑网络连接，兼顾网络垂直管理功能。每个市州部署1台接入路由器、1台全千兆核心交换机及部分接入交换机，通过移动互联网链路与省厅外网数据中心进行访问，同时通过千兆链路与接入交换机互联，在设备上保留空余接口和槽位以便于扩展，要求路由器设备具备一定的安全防护及数据流量分析功能，以保障市局网络的高可靠性及各业务稳定运行；提供数据加密功能，以提供移动办公用户的远程接入。四、智慧司法外网3、区县司法局外网核心区县司法局因网络规模较小，因此考虑建设一个适用型局域网，部署一个单核心，二层网络，主要用于区县司法局外网互联，在86个县（区）级各配置一台路由器、一台交换机、一台防火墙，结合综合布线系统，组成县（区）级的外网网络。（同级别的劳教、监狱也按此配置组网）。五、使用协议及划分省内网核心及云平台核心采用。在内网的骨干区域内，采用了动态的、基于链路状态的协议。为了保证整网的性能，考虑的分域规划，区域的划分同政法网接入时区域划分保持一致。1、省核心两台S12508做2虚拟为一台交换机和S7606S同政法网6616路由器通过进行连接。2、云平台核心两台S5820做虚拟为一台交换机通过防火墙同省核心交换机连接。具体区域划分如下：五、使用协议及划分省外网核心及云平台核心采用。在外网核心级市州、区县对外采用地址转换方式同运营商连接，对内采用动态分配方式为局域网划分地址。在外网云平台采用备份方式同运营商连接，内部各服务器及交换机之间采用固定地址分配方式。五、使用协议及划分内网地址划分详见附表：司法厅地址规划外网地址划分，因外网同运营商是通过地址转换的方式，所以每个节点局域网地址使用不受影响，均采用192.168，以自动获取方式获得。六、网络维护及处理方法当今的网络环境日趋复杂，主要表现在以下方面：

越来越多的应用需要因特网提供支持，包括数据、语音、视频以及它们的集成传输。新业务发展使对网络带宽的需求不断增长，新技术的不断出现。例如：十兆以太网向百兆、千兆以太网的演进；技术的出现。新技术在应用的同时还要兼顾传统的技术。而网络环境越复杂，网络故障发生的可能性越大，引发故障的原因也越发难以确定。重要的是要建立系统化的故障处理思想。1、故障处理思路及原则故障处理系统化是合理地一步一步找出故障原因，并解决故障的总体原则。其基本思想是系统地将故障的所有可能原因缩减或隔离成几个小的子集，从而使问题的复杂度迅速下降，有序的故障处理思路有助于解决所遇到的困难网络故障处理的基本步骤是：观察现象、收集信息、判断分析、原因排查2、一般故障分类及处理方法故障分类：连通性问题硬件、媒介、电源故障配置错误不正确的相互作用性能问题网络拥塞到目的地不是最佳路由供电不足处理方法：分层法、分块法、分段法、替换法分层故障排除法。。。。物理层数据链路层网络层所有的技术都是分层的！关注电缆、连接头、信号电平、编码、时钟和组帧关注封装协议和相关参数、链路利用率等关注地址分配、路由协议参数等分块故障排除法通常考虑故障分块如下：管理部分（路由器名称、口令、服务、日志等）端口部分（地址、封装、、认证等）路由协议部分（静态路由、、、、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制台、登录或哑终端、拨号等）其他应用部分（语言配置、配置、配置等）分段故障排除法可将网络分为若干段，逐段测试，缩小故障范围，逐段定位网络故障，并排除。3、日常维护概述维护目的：通过日常的网络维护，保证整个网络位系统可靠运行。维护方式：突发性维护指因为设备故障、网络调整等原因进行的维护。在网络日常维护中，有时候因设备断电、模块故障、设备损坏、接口线路故障以及网络节点接入、网络拓扑调整等原因进行维护，在这过程中需要将维护的整个过程细节文档化。日常例行维护指每天必须进行的维护项目。在日常维护中需要对主要接入节点进行连通性测试，它能使维护人员随时了解网络运行情况，以便及时解决问题。在发现问题时，详细记录相关故障发生的位置和现象，以便及时维护和排除隐患。周期性例行维护指定周期进行的维护。在一定的时间内，比如一季度或者半年期将设备相关配置进行保存，将目前网络的运行情况，连接模式进行总结汇总。以便维护人员可以了解设备的长期工作情况。日常维护基本原则是：及时发现、解决问题、防患于未然日常维护中常用命令命令：用于检查网络连接以及主机是否可达。命令：用于探测报文在源节点到目的节点之间所经过的路线。命令：用于远程登录设备。命令：

网络维护和故障处理的重要工具，主要用于查看设备中的相关信息。4、网络故障的判断及处理使用命令，看能否通目的地址或网关。如不能通则做如下检查。打开“网络连接”，看是否出现“网络电缆被拔出”的连接，如出现着种问题，则表明网线有问题，或者服务器或交换机端口故障。检查网卡的配置是否正确（地址、子网掩码、网关地址）。如排查不是电脑问题，转为排查设备和线路。局域网电脑访问网络故障连通性与网络延迟的检查使用命令或者群软件检查网络设备的连接性与网络的延迟情况。网络设备的故障包括交换机故障、路由器故障、光纤收发器部能正常工作时的状态。当网络设备出现故障时，通常能从设备的指示灯上显现出来。一些交换机和路由器，当使用命令无法登陆时，排除线路、设备故障等问题时，可以定位为设备配置问题。网络设备的故障排查网络设备的运行情况检查登陆上所需查看的设备登陆路由器后查看内存的使用率是否正常登陆路由器后查看的使用率是否正常线路指设备与设备之间的线路，例如45网线或光纤等。如怀疑45网线故障，可以用测线仪检查，或者用证明好的网线代替检查。如果是光纤，可以看连接光纤设备的指示灯，如出现故障，应该联系当地电信运营商，协调检查。线路故障排查网络设备的邻居关系检查通过检查互联的网络设备的路由邻居关系，可以判断他们的协议以及协议是否正常。具体命令如下：

正常的邻居关系应该处于状态。

正常的邻居关系应该处于状态。状态表示邻居关系正常状态表示邻居关系正常当我们经过一系列排查后列出可能的原因，然后根据所列出的可能原因制定相应的故障排除计划，分析最有可能的原因。当针对某一原因执行了排错方案后，需要对结果进行分析，判断问题是否解决，是否引入新的问题，如果问题解决，可以直接进入文档化过程，如果没有解决问题，需要再次尽心故障排查过程。排除故障过程中，如果确认为协议、环路、等逻辑问题，需远程解决，如果解决不了，可寻求技术支持。排除故障过程中，如果确认为本地设备、硬件或者线缆问题，需要联系当地负责人配合排除故障。排除故障过程中，如果确认为主干线路，或者主干线缆问题，需要联系电信线路负责人，予以解决。1、网络设备地址冲突故障现象：某县局域网上网时断时通。组网结构:现象观察：是整个局域网时断时通还是部分网段时断时通？是有规律的通断还是无规律的通断？通过与用户进一步交流，对故障现象描述为：县局局域网整个网段上网有规律的时断时通。信息收集：网络结构或配置是否做过修改带网关地址观察现象等命令查看日记记录，告警信息打开信息后，提示有和网关地址冲突的告警信息。可能原因：攻击，地址重复排查步骤：1，针对攻击，用命令查看设备表有无异常，结果为多了网关项，其他正常，排除攻击。2，针对地址重复，使用命令确认网关地址及对应端口。3、找到端口后跟用户联系确认为下连设备配置同网关相同的管理地址，断开后网络正常故障处理过程文档化。2、局域网防范工作机制协议是以太网等数据链路层的基础协议，负责完成地址到硬件地址的映射。

工作过程简述如下：

(1)当主机或者网络设备需要解析一个地址对应的地址时，会广播发送请求报文。

(2)主机或者网络设备接收到请求后，会进行应答。同时，根据请求发送者的地址和地址的对应关系建立表项。

(3)发起请求的主机或者网络设备接收到应答后，同样会将应答报文中发送者的地址和地址的映射关系记录下来，生成表项。攻击类型攻击是一种非常恶劣的网络攻击行为：

会造成网络不稳定，引发用户无法上网或者企业断网导致重大生产事故。

利用攻击可进一步实施攻击，非法获取游戏、网银、文件服务等系统的

帐号和口令，使被攻击者造成利益上的重大损失。从工作机制可以看出，协议简单易用，但是却没有任何安全机制，攻击者可以发送伪造报文对网络进行攻击。伪造报文具有如下特点：

伪造的报文中源地址/目的地址和以太网帧封装中的源地址/目的地址不一致。

伪造的报文中源地址和源地址的映射关系不是合法用户真实的映射关系。

目前主要的攻击方式有如下几类：

仿冒网关攻击

仿冒用户攻击（欺骗网关或者其他主机）

泛洪攻击

仿冒网关攻击如图所示，因为主机A仿冒网关向主机B发送了伪造的网关报文，导致主机B的表中记录了错误的网关地址映射关系，从而正常的数据不能被网关接收。仿冒网关攻击是一种比较常见的攻击方式，如果攻击源发送的是广播报文，或者根据其自身所掌握的局域网内主机的信息依次地发送攻击报文，就可能会导致整个局域网通信的中断，是攻击中影响较为严重的一种。仿冒用户攻击欺骗其他用户如图所示，主机A仿冒主机B向主机C发送了伪造的报文，导致主机C的表中记录了错误的主机B地址映射关系，从而正常的数据报文不能正确地被主机B接收。

泛洪攻击网络设备在处理报文时需要占用系统资源，同时因为系统内存和查找表效率的要求，一般网络设备会限制表的大小。攻击者就利用这一点，通过伪造大量源地址变化的报文，使设备表溢出，合法用户的报文不能生成有效的表项，导致正常通信中断。

另外，通过向设备发送大量目标地址不能解析的报文，使设备反复地对目标地址进行解析，导致负荷过重，也是泛洪攻击的一种。

攻击防范攻击源一般来自于主机侧，因此接入交换机在攻击防范中是一个关键的控制点。针对攻击的特点，接入交换机上的防范主要从两个方面考虑：

建立正确的映射关系、检测并过滤伪造的报文，保证经过其转发的报文正确合法。

抑制短时间内大量报文的冲击。

由于防范措施部署在接入侧，因此无需在网关上部署，可以减轻网关负担。

如果接入交换机上不支持攻击防范功能，或者主机直接接入网关，则需要在网关上部署防范措施，部署思路从两个方面考虑：

建立正确的表项，防止攻击者修改。

抑制短时间内大量报文或者需触发解析的报文的冲击。

直接在网关上进行部署对接入交换机的依赖较小，可以较好的支持现有网络，有效地保护用户投资。

访问控制.单纯依靠或来建立信任关系是不安全