伍建國

(深圳市建筑工務(wù)署，廣東 深圳 518000)

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在深圳大運(yùn)中心的應(yīng)用

伍建國

(深圳市建筑工務(wù)署，廣東 深圳 518000)

1 概述

深圳大運(yùn)會體育中心場館計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)包含大運(yùn)會體育場、體育館和游泳館內(nèi)的公網(wǎng)、控制網(wǎng)、監(jiān)控網(wǎng)及廣播網(wǎng)4套網(wǎng)絡(luò)。其中公網(wǎng)、控制網(wǎng)采用“核心+匯聚+接入”的三層星型冗余拓?fù)浣Y(jié)構(gòu)，每套網(wǎng)絡(luò)分別設(shè)置2臺核心交換機(jī)于體育場內(nèi)，雙機(jī)熱備。在體育場網(wǎng)絡(luò)中心設(shè)置2臺匯聚層交換機(jī)與核心交換機(jī)連接，同時(shí)大運(yùn)中心體育館、游泳館匯聚交換機(jī)通過光纖鏈路統(tǒng)一接入體育場核心交換機(jī)內(nèi)。監(jiān)控網(wǎng)根據(jù)建設(shè)需要采用二(三)層架構(gòu)，在各場館監(jiān)控中心進(jìn)行匯聚，統(tǒng)一接入體育場核心交換機(jī)。體育場廣播網(wǎng)獨(dú)立建設(shè)，采用二層結(jié)構(gòu)設(shè)計(jì)，核心交換機(jī)和接入交換機(jī)采用多模光纖進(jìn)行互聯(lián)。

2 需求分析

計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)是智能建筑的神經(jīng)中樞，深圳大運(yùn)會體育中心場館計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)要求在綜合布線系統(tǒng)的基礎(chǔ)上，以網(wǎng)絡(luò)中心為核心，以IP和Intranet技術(shù)為技術(shù)主體，在深圳大運(yùn)會體育中心構(gòu)建高寬帶、可冗余、可路由、IP交換、可備份、安全可靠的計(jì)算機(jī)寬帶網(wǎng)絡(luò)，保證深圳大運(yùn)會體育中心內(nèi)各種基于網(wǎng)絡(luò)平臺的應(yīng)用系統(tǒng)正常運(yùn)行以及高速訪問互聯(lián)網(wǎng)，保證與大運(yùn)會信息中心的可靠連接。

深圳大運(yùn)會體育中心現(xiàn)由體育館、體育場和游泳館組成。在設(shè)計(jì)和確定網(wǎng)絡(luò)的總體性能及拓?fù)浣Y(jié)構(gòu)時(shí)，既要考慮網(wǎng)絡(luò)建設(shè)的基本理論和原則，又要考慮深圳大運(yùn)會體育中心的實(shí)際情況、應(yīng)用需求、資金條件和近、遠(yuǎn)期目標(biāo)，使得所實(shí)現(xiàn)的網(wǎng)絡(luò)既能高效、經(jīng)濟(jì)地滿足用戶近期的應(yīng)用需求，又能滿足網(wǎng)絡(luò)未來擴(kuò)展的需要。

3 系統(tǒng)設(shè)計(jì)

大運(yùn)中心體育場館計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)建設(shè)和各項(xiàng)業(yè)務(wù)使用過程中需滿足全方位的數(shù)據(jù)共享，設(shè)計(jì)采用三層交換，提供全面的QoS保障服務(wù)，使網(wǎng)絡(luò)安全可靠，從而實(shí)現(xiàn)管理、多媒體數(shù)字監(jiān)控及辦公自動化，提供可增值、可管理的業(yè)務(wù)，必須具備高性能、高安全性、高可靠性；可管理、可增值特性；開放性、兼容性、可擴(kuò)展性。下面以大運(yùn)中心公共網(wǎng)絡(luò)設(shè)計(jì)為例，介紹網(wǎng)絡(luò)系統(tǒng)的詳細(xì)設(shè)計(jì)。

深圳大運(yùn)會體育中心體育場公共網(wǎng)絡(luò)系統(tǒng)采用三層結(jié)構(gòu)設(shè)計(jì)，同時(shí)通過無線、安全、網(wǎng)絡(luò)管理等多種業(yè)務(wù)模塊實(shí)現(xiàn)場館公共網(wǎng)絡(luò)數(shù)據(jù)交換業(yè)務(wù)和互聯(lián)網(wǎng)訪問服務(wù)要求，大運(yùn)會中心體育場公共網(wǎng)絡(luò)系統(tǒng)如圖1所示，采用雙核心雙匯聚保證公網(wǎng)的穩(wěn)定。

1)核心交換機(jī)設(shè)計(jì)

圖1 大運(yùn)會中心體育場公共網(wǎng)絡(luò)系統(tǒng)圖

深圳大運(yùn)會體育中心體育場公共網(wǎng)絡(luò)系統(tǒng)采用萬兆核心多業(yè)務(wù)路由交換機(jī)，每臺核心配置電源冗余及單主控板，保證單臺設(shè)備的電信級可靠性要求，兩臺核心交換機(jī)通過雙機(jī)的方式實(shí)現(xiàn)負(fù)載分擔(dān)與熱備份功能，核心交換機(jī)配置高密度千兆接口模塊滿足本地服務(wù)器接入要求，通過配置防火墻插卡模塊實(shí)現(xiàn)各業(yè)務(wù)區(qū)域的隔離與攻擊防御功能。大運(yùn)會體育中心“一場兩館”的匯聚交換機(jī)通過雙千兆光纖分別與核心交換機(jī)互聯(lián)。

2)匯聚交換機(jī)設(shè)計(jì)

匯聚交換機(jī)采用高端多業(yè)務(wù)路由交換機(jī)，每臺交換機(jī)均配置電源冗余及單主控板，保證單臺設(shè)備的電信級可靠性要求，兩臺交換機(jī)實(shí)現(xiàn)雙機(jī)備份功能。7502E配置高密度千兆接口模塊滿足本地服務(wù)器接入要求，兩臺交換機(jī)分別通過兩條千兆光纖鏈路與體育中心核心交換機(jī)進(jìn)行互聯(lián)，同時(shí)通過千兆多模光纖與接入層交換機(jī)互聯(lián)，形成高可靠性、高性能匯聚中心。

3)接入交換機(jī)設(shè)計(jì)

接入交換機(jī)采用全千兆智能交換機(jī)，交換機(jī)具有24/48口多種類型，同時(shí)具有POE遠(yuǎn)程供電功能，根據(jù)大運(yùn)會體育場終端設(shè)計(jì)部署在體育場各弱電配線間內(nèi),多臺接入交換機(jī)通過千兆堆疊線纜進(jìn)行堆疊后通過兩條千兆鏈路分別與體育場公網(wǎng)匯聚交換機(jī)進(jìn)行互聯(lián)。

根據(jù)實(shí)際需求采用8臺24口以太網(wǎng)交換機(jī)主機(jī)，3臺24口POE以太網(wǎng)交換機(jī)主機(jī)，15臺4口以太網(wǎng)交換機(jī)主機(jī)，11臺48口POE以太網(wǎng)交換機(jī)主機(jī)。

4)無線部署設(shè)計(jì)

根據(jù)深圳大運(yùn)會體育場無線需求，滿足記者席、新聞發(fā)布中心、廣播中心、VIP房等功能模塊無線數(shù)據(jù)應(yīng)用，在體育場匯聚層部署2臺無線控制器，場館前端根據(jù)實(shí)際設(shè)計(jì)功能要求部署無線路由器形成有線無線一體化的瘦AP解決方案。體育場接入層交換機(jī)通過POE功能對無線控制器、無線AP進(jìn)行遠(yuǎn)程供電，降低了整體無線部署施工難度。

5)網(wǎng)絡(luò)出口設(shè)計(jì)

大運(yùn)會體育場公共網(wǎng)絡(luò)系統(tǒng)需滿足公共網(wǎng)絡(luò)數(shù)據(jù)交換業(yè)務(wù)和互聯(lián)網(wǎng)訪問服務(wù)功能，同時(shí)須對網(wǎng)絡(luò)訪問應(yīng)用進(jìn)行篩選、控制與審計(jì)。滿足大運(yùn)會體育場館公共網(wǎng)絡(luò)系統(tǒng)的正常使用。網(wǎng)絡(luò)出口部署一臺高性能多核路由器作為大運(yùn)會體育中心公共網(wǎng)絡(luò)出口網(wǎng)關(guān)，通過對多個(gè)互聯(lián)網(wǎng)出口的接入完成大運(yùn)會體育場館互聯(lián)網(wǎng)訪問數(shù)據(jù)轉(zhuǎn)發(fā)要求。同時(shí)通過部署一臺審計(jì)網(wǎng)關(guān)對出口流量及功能性應(yīng)用進(jìn)行識別與控制，通過統(tǒng)一管理中心的管理應(yīng)用控制與審計(jì)管理系統(tǒng)對出口流量進(jìn)行審計(jì)與管理。

6)網(wǎng)絡(luò)管理設(shè)計(jì)

深圳大運(yùn)會體育中心體育場公共網(wǎng)絡(luò)系統(tǒng)涉及核心交換機(jī)、匯聚交換機(jī)、接入交換機(jī)、防火墻、無線控制器及無線AP等設(shè)備，設(shè)備分布于體育場的各個(gè)區(qū)域，給設(shè)備的管理與狀態(tài)監(jiān)控帶來了很大的困難。大運(yùn)會體育中心體育場網(wǎng)絡(luò)管理及安全管理中心通過智能網(wǎng)管軟件，使用一套管理系統(tǒng)完成對設(shè)備、用戶和業(yè)務(wù)的統(tǒng)一管理，真正實(shí)現(xiàn)了多功能一體化管理要求。

4 系統(tǒng)功能介紹

4.1 網(wǎng)絡(luò)系統(tǒng)基本功能

1)VLAN功能

VLAN(Virtual Local Area Network)即虛擬局域網(wǎng)，是一種通過將局域網(wǎng)內(nèi)的設(shè)備邏輯地而不是物理地劃分成一個(gè)個(gè)網(wǎng)段，從而實(shí)現(xiàn)虛擬工作組的技術(shù)。VLAN技術(shù)允許網(wǎng)絡(luò)管理者將一個(gè)物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN，即VLAN)，每一個(gè)VLAN都包含一組有著相同需求的計(jì)算機(jī)工作站，與物理上形成的LAN有著相同的屬性。但由于是邏輯地而不是物理地劃分，所以同一個(gè)VLAN內(nèi)的各個(gè)工作站無須被放置在同一個(gè)物理空間里，即這些工作站不一定屬于同一個(gè)物理LAN網(wǎng)段。一個(gè)VLAN內(nèi)部的廣播和單播流量都不會轉(zhuǎn)發(fā)到其他VLAN中，從而有助于控制流量、減少設(shè)備投資、簡化網(wǎng)絡(luò)管理、提高網(wǎng)絡(luò)的安全性。VLAN是為解決以太網(wǎng)的廣播問題和安全性而提出的一種協(xié)議，它在以太網(wǎng)幀的基礎(chǔ)上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個(gè)工作組就是一個(gè)虛擬局域網(wǎng)。虛擬局域網(wǎng)的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態(tài)管理網(wǎng)絡(luò)。

以太網(wǎng)交換機(jī)支持的VLAN劃分技術(shù)：基于端口的VLAN；基于協(xié)議的VLAN；Voice VLAN技術(shù)；VLAN VPN(QinQ)，靈活QinQ等。

2)QoS功能

QoS對網(wǎng)絡(luò)的應(yīng)用是非常重要的，考慮到未來要增加多種的業(yè)務(wù)，如：流媒體點(diǎn)播、視頻點(diǎn)播等，這要求全網(wǎng)能夠提供強(qiáng)大的QoS功能，此次設(shè)計(jì)采用的產(chǎn)品可以為用戶提供豐富的QoS保證，支持QoS技術(shù)中的PQ/CQ/WFQ/LLQ/CBWFQ等轉(zhuǎn)發(fā)隊(duì)列優(yōu)先保證機(jī)制，所攜帶的IP地址段、TOS值、源端口號等均可實(shí)現(xiàn)業(yè)務(wù)的保證，同時(shí)可以針對不同的接入層交換機(jī)端口或不同業(yè)務(wù)進(jìn)行端口的限速，以提高全網(wǎng)的QoS業(yè)務(wù)的保證。同時(shí)利用核心及匯聚層設(shè)備可實(shí)現(xiàn)基于業(yè)務(wù)類型的流領(lǐng)控制功能，如：基于端口、IP、VLAN等帶寬管理以及優(yōu)先權(quán)的分配，可實(shí)現(xiàn)帶寬管理最小粒度為8kbps。

3)廣播風(fēng)暴的抑止

各級網(wǎng)絡(luò)交換機(jī)均可以實(shí)現(xiàn)基于端口的廣播風(fēng)暴抑止功能，可支持同一VLAN內(nèi)的風(fēng)暴抑止功能，可以有效地抑止局域網(wǎng)內(nèi)部的廣播風(fēng)暴，確保網(wǎng)絡(luò)的安全穩(wěn)定。

4)組播業(yè)務(wù)

路由交換機(jī)通過標(biāo)準(zhǔn)的組播協(xié)議完成用戶的組播管理，可以支持豐富的組播協(xié)議，包括ICMP、PIM-SM、PIM-DM、MSDP等；可支持豐富的業(yè)務(wù)，包括視頻點(diǎn)播、流媒體點(diǎn)播；可支持各種流媒體終端以及組播源的種類；可以通過HGMP協(xié)議將各樓道交換機(jī)納入到組播中。由匯聚交換機(jī)完成對其下掛的接入交換機(jī)的組播用戶的報(bào)文復(fù)制和發(fā)送。通過這種機(jī)制，使得整個(gè)網(wǎng)絡(luò)的流量做到最優(yōu)，有效地保證了視頻點(diǎn)播、網(wǎng)絡(luò)電視、會議電視、視頻游戲等視頻業(yè)務(wù)的開展和通過組播實(shí)現(xiàn)的視頻業(yè)務(wù)。

5)IPv6支持

對于IPv6流媒體的訪問同樣可以采用IPv6組播協(xié)議進(jìn)行IPv6業(yè)務(wù)的開展，通過核心、匯聚IPv6協(xié)議的支持，可以在全網(wǎng)開展IPv6業(yè)務(wù)，確保IPv6組播業(yè)務(wù)能夠很好的開展，便于IPv6業(yè)務(wù)的豐富和發(fā)展。

4.2 安全防御功能

網(wǎng)絡(luò)安全設(shè)計(jì)包括兩方面的內(nèi)容：核心設(shè)備自身的安全機(jī)制和網(wǎng)絡(luò)安全設(shè)備的使用。

網(wǎng)絡(luò)級安全是指在物理層、鏈路層和網(wǎng)絡(luò)層采取各種安全措施來保障深圳大運(yùn)會體育中心網(wǎng)絡(luò)的安全；應(yīng)用級安全是指采用應(yīng)用層安全產(chǎn)品和利用應(yīng)用系統(tǒng)自身專有的安全機(jī)制，在應(yīng)用層保證對深圳大運(yùn)會體育中心網(wǎng)絡(luò)各種應(yīng)用系統(tǒng)的信息訪問合法性；系統(tǒng)級安全主要是通過對操作系統(tǒng)(UNIX、NT)的安全設(shè)置和掃描檢測，防止不法分子利用操作系統(tǒng)的安全漏洞對深圳大運(yùn)會體育中心網(wǎng)絡(luò)構(gòu)成安全威脅；企業(yè)級安全主要是從建設(shè)內(nèi)部安全管理、審計(jì)和計(jì)算機(jī)病毒防范三方面來保障網(wǎng)絡(luò)的安全。

1)核心交換機(jī)必須具備高安全性

核心路由交換機(jī)自身必須具備較高的安全性支持，體現(xiàn)在如下幾個(gè)方面：采用“最長匹配、逐包轉(zhuǎn)發(fā)”模式，天然抵御“紅代碼”等網(wǎng)絡(luò)病毒；支持OSPF、RIPv2及BGPv4報(bào)文的明文及MD5密文認(rèn)證；支持安全的SNMPv3網(wǎng)管協(xié)議；支持配置安全，對登錄用戶進(jìn)行認(rèn)證，為不同級別的用戶分配不同的配置權(quán)限；支持IP地址、VLAN ID、MAC地址和端口等多種組合綁定方式，防范各種地址盜用；支持廣播報(bào)文抑制，有效控制ARP等非法廣播流量對設(shè)備造成沖擊；支持URPF(單播反向路徑檢查)，防止IP地址欺騙；支持受限的IP地址的Telnet登錄和口令機(jī)制；支持報(bào)文安全過濾，防止非法侵入和惡意報(bào)文攻擊；支持端口鏡像，將有安全隱患的報(bào)文鏡像到分析端口，利用儀器設(shè)備進(jìn)行抓包分析并及時(shí)阻斷；支持IEEE 802.1x、AAA/Radius、TACACS+，對用戶身份進(jìn)行合法性認(rèn)證；支持內(nèi)置Firewall、IPS等模塊，有效保障網(wǎng)絡(luò)安全，為用戶構(gòu)建立體安全網(wǎng)絡(luò)。

2)高性能防火墻保障網(wǎng)絡(luò)層安全

防火墻是網(wǎng)絡(luò)系統(tǒng)的核心基礎(chǔ)防護(hù)措施，可以對整個(gè)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)區(qū)域分割，提供基于IP地址和TCP/IP服務(wù)端口等的訪問控制；對常見的網(wǎng)絡(luò)攻擊方式，如拒絕服務(wù)攻擊(ping of death、land、syn flooding、ping flooding、tear drop…)、端口掃描(port scanning)、IP欺騙(ip spoofing)、IP盜用等進(jìn)行有效防護(hù)；提供NAT地址轉(zhuǎn)換、流量限制、用戶認(rèn)證、IP與MAC綁定等安全增強(qiáng)措施。

本方案中部署高性能萬兆防火墻，防火墻采用專業(yè)的軟硬件系統(tǒng)，具有高可靠、高穩(wěn)定和安全功能豐富等特點(diǎn)。為抵御全面的安全威脅，防火墻提供先進(jìn)的基于狀態(tài)的過濾技術(shù)，具備各種攻擊的防范、安全區(qū)域隔離、遠(yuǎn)程安全接入(VPN)和地址轉(zhuǎn)換(NAT)等功能，具有強(qiáng)大的安全防護(hù)能力。

通過部署防火墻，可以實(shí)現(xiàn)外部攻擊防范、內(nèi)網(wǎng)安全控制、遠(yuǎn)程安全接入、郵件和網(wǎng)頁過濾、流量監(jiān)控、P2P控制等功能，并且提供核心部件冗余設(shè)計(jì)、基于鏈路和基于狀態(tài)的冗余，從而保障整個(gè)網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定運(yùn)行。

4.3 無線功能

1)無線網(wǎng)絡(luò)方案

本方案主要采用先進(jìn)的FIT AP方案進(jìn)行組網(wǎng)，利用無線控制器配合前端無線AP有線無線一體化的瘦AP解決方案,AP與無線控制器之間通過二層隧道協(xié)議通信，無線控制器作為中央控制管理器可從網(wǎng)絡(luò)任何位置接入，本次設(shè)計(jì)從所有AP連接到接入層的交換機(jī)上，然后通過光纖連接到體育場匯聚交換機(jī)上，所有數(shù)據(jù)通過AP打隧道到無線控制器再解隧道送返有線網(wǎng)絡(luò)，這種工作機(jī)制一定程度上保證了無線數(shù)據(jù)的加密安全傳輸，同時(shí)無線控制器處于中央控制地位，可實(shí)現(xiàn)更豐富的業(yè)務(wù)功能。

2)無線認(rèn)證方式選擇

在認(rèn)證點(diǎn)選擇方面，設(shè)計(jì)采用的是FIT AP+無線控制器進(jìn)行組網(wǎng)的方案，AP與無線控制器通過二層隧道協(xié)議通信，無線用戶的認(rèn)證點(diǎn)都放置在無線控制器設(shè)備上。這樣組網(wǎng)的優(yōu)勢是：當(dāng)用戶在不同AP之間進(jìn)行L2、L3漫游切換時(shí)，可由無線控制器對用戶的漫游切換進(jìn)行管理控制，用戶可以在無需重新認(rèn)證的情況下跨區(qū)域開展業(yè)務(wù)。

4.4 出口應(yīng)用控制功能

1)UAG流量精細(xì)化管理解決方案

目前的流量管理模式是基于帶寬的粗獷式管理，帶寬管理者對網(wǎng)絡(luò)上業(yè)務(wù)流量的類型及使用情況等知之甚少，無法實(shí)現(xiàn)流量的完全監(jiān)控和管理。應(yīng)用控制網(wǎng)關(guān)設(shè)備是面向運(yùn)營商、大中型企業(yè)、教育系統(tǒng)開發(fā)的專業(yè)應(yīng)用控制網(wǎng)關(guān)設(shè)備，提供高性能2～7層的深度報(bào)文檢測、流量統(tǒng)計(jì)以及基于用戶和應(yīng)用的帶寬控制能力。為用戶提供精細(xì)化流量管理解決方案。

2)深度應(yīng)用識別

UAG深度應(yīng)用識別技術(shù)的核心是基于“并行流過濾引擎”、“DPI”軟件平臺的UAAE應(yīng)用控制感知引擎。它和深度檢測引擎配合，智能高效識別網(wǎng)絡(luò)中的各種應(yīng)用協(xié)議及其行為。應(yīng)用識別引擎(UAAE)，為了解決復(fù)雜的應(yīng)用識別需求，深入發(fā)掘應(yīng)用的內(nèi)容特征行為(尤其是攻擊行為)，采用了一系列的自主研發(fā)技術(shù)。整體架構(gòu)如圖2所示。

圖2 深度應(yīng)用識別整體架構(gòu)圖

(1)UAAE引擎對種類繁多的應(yīng)用協(xié)議進(jìn)行模型化，分類進(jìn)行識別，同時(shí)在模型化識別的基礎(chǔ)上進(jìn)行智能決策。

(2)為了在應(yīng)用中識別攻擊等特征行為，對重要的應(yīng)用協(xié)議進(jìn)行數(shù)據(jù)解析，UAAE結(jié)合應(yīng)用對數(shù)據(jù)進(jìn)行分類深度檢測，同時(shí)對深度檢測結(jié)果再次結(jié)合應(yīng)用環(huán)境進(jìn)行分析；UAAE可以對應(yīng)用的數(shù)據(jù)特征進(jìn)行有狀態(tài)的跟蹤，而不僅僅依據(jù)單個(gè)數(shù)據(jù)報(bào)文特征做出判決。

(3)UAAE內(nèi)置提供統(tǒng)一的定義語言，擁有可擴(kuò)展、可升級的應(yīng)用識別和行為識別能力。

3)Skype協(xié)議識別技術(shù)

Skype作為第四代P2P的杰出代表，除了具備第三代P2P應(yīng)用的集中和分布式網(wǎng)絡(luò)體系結(jié)構(gòu)外，還采用了動態(tài)選擇端口方法、多協(xié)議并用方式進(jìn)行連接，從而達(dá)到健全Skype通訊網(wǎng)絡(luò)的目的。

UAG P2P應(yīng)用識別技術(shù)在深入理解P2P協(xié)議模型的基礎(chǔ)上，針對Skype協(xié)議進(jìn)行逆向工程深度分析和跟蹤調(diào)試，獨(dú)創(chuàng)性地建立了針對P2P協(xié)議識別的通用模型。該模型針對通訊數(shù)據(jù)綜合進(jìn)行特征匹配(其特征可以是固定的特征、雙方的交互行為特征、流量統(tǒng)計(jì)特征)、標(biāo)識連接、發(fā)現(xiàn)節(jié)點(diǎn)，并根據(jù)與該節(jié)點(diǎn)的行為交互從而識別更多的連接，由于是基于節(jié)點(diǎn)以及基于統(tǒng)計(jì)規(guī)律來識別Skype協(xié)議，在保證性能的同時(shí)也提高了協(xié)議識別的準(zhǔn)確性。

4)P2P/IM類應(yīng)用識別技術(shù)

P2P類應(yīng)用的特點(diǎn)是單個(gè)IP的連接數(shù)較多，每個(gè)連接的端口號不固定，每個(gè)連接數(shù)據(jù)包的包長且速率較大，UAG在深入理解P2P協(xié)議模型基礎(chǔ)上，建立了針對P2P協(xié)議識別的通用模型。

5)流量控制

傳統(tǒng)帶寬管理模型都以一個(gè)接口上的轉(zhuǎn)發(fā)流量為核心，即對進(jìn)入同一個(gè)接口的流量按照不同的流量等級分配不同的帶寬，對接口帶寬采用的是一種扁平化的帶寬管理方法。

利用被廣泛采用的數(shù)據(jù)包深層掃描(DPI)技術(shù)，能夠檢測出報(bào)文所屬的L7應(yīng)用協(xié)議以及L7內(nèi)容特征，但是基于TCP或UDP的應(yīng)用層協(xié)議繁多，應(yīng)用協(xié)議經(jīng)過整理后，可以達(dá)到成百上千種，用戶如果仍然基于應(yīng)用層協(xié)議對流量進(jìn)行管理，是非常困難的。

UAG帶寬控制技術(shù)是面向IT服務(wù)的流量管理，實(shí)現(xiàn)了網(wǎng)絡(luò)與系統(tǒng)的高效管理，使管理更加靈活、可用性更高。能夠基于不同的分段、不同的用戶以及IT服務(wù)等應(yīng)用不同的帶寬策略，達(dá)到細(xì)分流量管理的目的。

6)共享接入管理

UAG共享接入管理可以準(zhǔn)確檢測出共享上網(wǎng)用戶以及在線共享主機(jī)數(shù)目。UAG產(chǎn)品采用ID軌跡檢測技術(shù)和時(shí)鐘偏移檢測技術(shù)，結(jié)合多種應(yīng)用層特征檢測技術(shù)(如應(yīng)用特征檢測、流量/連接數(shù)統(tǒng)計(jì)、TTL檢測、MAC地址檢測等)，用以監(jiān)測以NAT、Proxy等多種方式進(jìn)行共享接入的用戶以及準(zhǔn)確的PC數(shù)量。其中ID軌跡檢測是基于IP報(bào)文的ID域值檢測，一個(gè)操作系統(tǒng)的網(wǎng)絡(luò)協(xié)議棧的ID初始值是隨機(jī)產(chǎn)生的，每發(fā)送一個(gè)IP報(bào)文，其ID值增1。該方法可以較準(zhǔn)確地判斷出是否為共享上網(wǎng)用戶以及在線共享的主機(jī)數(shù)量。

7)用戶行為審計(jì)

目前網(wǎng)絡(luò)應(yīng)用行為日益頻繁，學(xué)校和企業(yè)網(wǎng)絡(luò)中內(nèi)部安全和內(nèi)部控制的重要性日益突出，員工通過網(wǎng)絡(luò)泄漏重要數(shù)據(jù)、學(xué)生或員工在網(wǎng)上傳播非法言論造成社會惡劣影響等事件時(shí)有發(fā)生。及時(shí)記錄內(nèi)部人員的上網(wǎng)行為，從而做到事后有據(jù)可查成為目前校園網(wǎng)和企業(yè)網(wǎng)迫切需要解決的問題。

UAG用戶行為審計(jì)功能可以對用戶的上網(wǎng)行為進(jìn)行全面記錄，為取證提供完備的依據(jù)。UAG用戶行為審計(jì)功能包括用戶HTTP訪問行為記錄，用戶電子郵件行為記錄以及FTP上傳下載行為審計(jì)。通過對URL的全記錄，完全掌握用戶上網(wǎng)行為，定位用戶訪問網(wǎng)頁或查看的文件；通過對用戶電子郵件內(nèi)重要信息以及FTP上傳下載文件名等信息的審計(jì)，完成數(shù)據(jù)流動的完全監(jiān)控。

5 結(jié)束語

深圳大運(yùn)會體育中心計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)自2011年3月投入運(yùn)營以來，系統(tǒng)穩(wěn)定可靠，其作為智能建筑的神經(jīng)中樞，在2011年8月召開的第23屆世界大學(xué)生運(yùn)動會中起到了非常重要的作用。

[1] 曹秀英.無線局域網(wǎng)安全系統(tǒng)[M].北京：電子工業(yè)出版社，2004.

[2] 劉乃安.無線局域網(wǎng)(WLAN)——原理、技術(shù)與應(yīng)用[M].北京：人民教育出版社，2004.

[3] 深圳市工務(wù)署.大運(yùn)中心智能化系統(tǒng)技術(shù)需求書[Z].

The Application of Computer Network System of Shenzhen Universiade Sports Center

Wu Jianguo

深圳大運(yùn)會體育中心場館計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)包含大運(yùn)會體育場、體育館、游泳館內(nèi)的公網(wǎng)、控制網(wǎng)、監(jiān)控網(wǎng)和廣播網(wǎng)4套網(wǎng)絡(luò),介紹了3個(gè)場館4套網(wǎng)絡(luò)的結(jié)構(gòu)、功能及配置。

公網(wǎng) 控制網(wǎng) 監(jiān)控網(wǎng) 廣播網(wǎng) 核心交換機(jī) 匯聚交換機(jī) 接入交換機(jī) 無線設(shè)計(jì)

The computer network system of Shenzhen universiade sports center stadium is consisted of public network, control network, monitoring network and broadcasting network in the scope of stadium, gymnasium and swimming pool. This paper introduces the structure, function and configuration of the four sets of networks.

public network, control network, monitor network, radio network, core switches, aggregation switches, access switches, wireless design