网络设备技术建议书
第一章项目的技术建议书
2.1交换机产品维护介绍
2.1.1例行维护的目的
例行维护是一种预防性的维护。它是指在设备的正常运行过程中,为及时发现并消除设备所存在的缺陷或隐患、维持设备的健康水平,从而使系统能够长期安全、稳定、可靠地运行而对设备进行的定期检查与保养。
2.1.2例行维护的分类
2.1.2.1日常例行维护
日常例行维护是指每天进行的、维护过程相对简单、并可由一般维护人员实施的维护操作,如告警系统检查、设备运行检查等。
2.1.2.2定期例行维护
定期维护是指按一定周期进行的、维护过程相对复杂、且多数情况下须由经过专门培训的维护人员实施的维护操作,如定期检查供电系统、定期检查接地系统、定期进行设备除尘等。
2.1.3常见维护项目:机房维护
2.1.
3.1机房温度状况
长期工作环境温度:0℃~45℃。短期工作环境温度: -5℃~55℃。若机房的环境温度长期不能满足要求,运营商应考虑检修或更换机房的空调系统。检查空调制冷度、开关情况等,空调制冷效果良好,开关接触良好。说明:短期工作条件是指连续不超过48小时和每年累计不超过15天。
2.1.
3.2机房湿度状况
在正常情况下,机房的长期工作环境相对湿度应在5%RH~85%RH之间,不结露;短期工作环境相对湿度应在0%RH~95%RH之间,不结露。若机房的相对湿度过大,运营商应考虑为机房安装除湿设备;若机房的相对湿度过小,运营商应考虑为机房安装加湿设备。
2.1.4常见维护项目:基本信息维护
告警:确认无告警.如果有告警,需要记录,对于严重以上告警需并立即分析并处理。
日志:确认没有大量重复的日志信息。如果有这种情况出现,需要立即分析并处理。
配臵文件:运行配臵需要与保存过的配臵相同。配臵必须与用户的要求保持一致。主备板的配臵文件名称、文件大小、文件保存的时间必须完全一致。
CF卡:cfcard里的文件都必须是有用的,否则请执行delete /unreserved 命令删除。
LICENSE信息:确认License文件已经激活,且在运行截至日期“Run time”之内。
补丁信息:补丁文件必须与实际要求一致,建议能加载华为公司发布的该产品版本对应的最新的补丁文件。补丁必须已经生效,即“ Total Patch Unit”的数量和“Running Patch Unit”的数量一致。
2.1.5常见维护项目:设备运行状况
风扇状态:确认风扇的“present”为“ YES”。风扇的“register”为“ YES”。
电源状态:确认电源的“State”为“On”。“Present”为“YES”的电源的“State”为“ Supply”。
设备温度,电压:应该在上下限之间,即“Status”为“normal”。
系统时间:通过命令查询系统日期和时间。时间应与当地实际时间一致(时间差不大于5分钟)。
如果不合格,请执行clock命令修改系统时间或者NTP。
CPU及内存占用率:CPU的“CPU Usage”,内存的占用率应低于“UpperLimit”的值。如果长时间过高,应检查设备,查询原因。
接口流量:把当前流量和接口带宽比较,如果使用率超过端口带宽的80%,需要记录并确认。并检查接口下的入方向和出方向是否有错误统计,重点关注错误统计的增长情况,并且参考出现错误包的时间间隔。
2.1.6常见维护项目:设备运行状况
单板运行状态:确认单板“Online”为“ Present”。单板“Power”为“PowerOn”。单板“Register”为“Registered”。单板“Alarm”为“ Normal”。单板无非正常复位现象。
主备状态:在设备软硬件正常,主机版本一致的情况下应该显示以下信息(以S9312为例)。
Slot 7 HA FSM State(master): realtime or routine backup.
Slot 8 HA FSM State(slave): receiving realtime or routine data.
如果没有备板,则显示“Slot D HA FSM State(master):waiting for the
slave to be inserted.”。
系统软件及启动文件:确认设备的启动文件正确。正常情况下,显示的系统和各单板的软件版本号与要求的相符。如果是双主控设备,要求主备用主控板版本一致。
2.1.7常见维护项目:清洁防尘网
防尘网主要作用是为机框、机箱内部各组件的散热进风提供灰尘过滤功能。
防尘网无需供电,可根据需要随时插拔,不影响设备的运行,方便随时清洁。
2.1.8常见维护项目:清洁风扇框
设备的运行过程中,风扇框中的风扇叶片、控制电路板等部位会吸附其周围空气中的尘埃而形成积累,当这种尘埃积累达到一定的程度时,它不仅影响风扇框的稳定运行,其积累的尘埃还会成为业务机框的污染源,从而对设备的稳定运行产生潜在的威胁。因此为确保设备能够长期稳定运行,维护人员应定期(建议每年一次)对每个风扇框进行除尘维护。
2.1.9常见维护项目:清洁单板
在设备的运行过程中,由于单板带电以及在设备散热过程中的空气对流等原因,单板将不可避免地吸附空气中的带电离子或尘埃而形成积累,空气的洁净度愈差、相对湿度愈低,这种吸附过程就愈强烈。当这种尘埃积累达到一定
的程度时,将严重影响到单板的散热效率与电气绝缘性能,从而对设备的稳定运行产生潜在的威胁。为确保设备能够长期稳定运行,维护人员应定期(建议每两年一次)对机柜内的所有单板进行除尘维护。
2.1.10常见维护项目:备份配置文件
配置文件可通过如下三种方法进行备份:
●
●●直接屏幕拷贝在命令行界面上,执行display currentconfiguration 命令,并拷贝所有显示信息到TXT文本文件中,从而将配臵文件备份到维护终端的硬盘中。
通过TFTP备份配臵文件
通过FTP备份配臵文件
2.1.11应急维护概述
应急维护是一种突发性的维护,是指系统或设备发生紧急事故,如突然断电、设备业务中断时,为迅速排除故障、恢复系统或设备的正常运行、尽量挽回或减少事故损失而进行的故障处理措施。应急维护另外一个作用是在已知的大业务量即将到来之前,给设备维护人员提供应急指导,采取有针对性的预防措施,维持整个系统的正常运行,防止超大业务量导致的系统故障。
●●●●●●●●●●
2.1.11.3设备故障信息收集方法
设备信息: 使用display device命令进行收集。
温度信息:使用display temperature 命令进行收集。
CPU 使用信息:使用display cpu-usage命令进行收集。
路由表信息:使用display ip routing-table 命令进行收集。
日志信息:使用display logbuffer 命令进行收集。
告警信息:使用display trapbuffer 命令进行收集。
配置信息:使用display current-configuration 命令进行收集。设备诊断信息:使用display diagnostic-information命令进行收集。接口信息:使用display interface 命令进行收集。
网络连通信息:使用ping 命令尝试连接各相邻节点,并记录结果
2.2防火墙产品维护介绍
2.2.1防火墙概述
网络安全包括基础设施安全、边界安全和管理安全等全方位策略
防火墙的主要作用是划分边界安全,实现关键系统与外部环境的安全隔离,保护内部网络免受外部攻击
与路由器相比,防火墙提供了更丰富的安全防御策略,提高了安全策略下数据报转发速率
由于防火墙用于边界安全,因此往往兼备NAT、VPN等功能
2.2.2防火墙的分类
按照防火墙实现的方式,一般把防火墙分为如下几类:
? 包过滤防火墙(Packet Filtering)
包过滤利用定义的特定规则过滤数据包,防火墙直接获得数据包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。
包过滤防火墙简单,但是缺乏灵活性,对一些动态协商端口没有办法设置规则。另外包过滤防火墙每包需要都进行策略检查,策略过多会导致性能急剧下降。
? 代理型防火墙(application gateway)
代理型防火墙使得防火墙做为一个访问的中间节点,对Client来说防火墙是一个Server,对Server来说防火墙是一个Client。
代理型防火墙安全性较高,但是开发代价很大。对每一种应用开发一个对应的代理服务是很难做到的,因此代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持。
? 状态检测防火墙
状态检测是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。
2.2.3防火墙技术发展方向
1、软件防火墙。一般是直接安装在PC上的一套软件,基于PC提供基本的安全防护,此时防火墙基本上就是一个应用软件。代表产品有CheckPoint公司的防火墙产品。
2、工控机类型防火墙。采用PC硬件结构,基于linux等开发源代码的操作系统内核,开发了安全防护的一些基本特性构成硬件防火墙产品形态。从外观上面看,该种防火墙是一个硬件防火墙产品,但是其软件、硬件和第一种防火墙产品从硬件上面说没有本质区别。国内大多数防火墙是采用这种技术。
3、电信级硬件防火墙。采用独立设计的硬件结构,在CPU、电源、风扇、PCI总线设计、扩展插卡等方面优化结构,保证防火墙产品可以得到最优的处
理性能和高可靠性。
4、基于NP电信级防火墙。由于纯软件设计的防火墙产品在流量很大的地方逐步成为瓶颈,基于网络处理器(NP)的业务加速模式的防火墙产品开始出现。通过网络处理器的高性能,使得防火墙产品可以达到1G线速的处理能力。
2.2.4主要防火墙性能衡量指标
1、吞吐量
其中吞吐量业界一般都是使用1K~1.5K的大包衡量防火墙对报文的处理能力的。因网络流量大部分是200字节报文,因此需要考察防火墙小包转发下性能。因防火墙需要配置ACL规则,因此需要考察防火墙支持大量规则下转发性能。
2、每秒建立连接速度
指的是每秒钟可以通过防火墙建立起来的完整TCP连接。由于防火墙的连接是动态连接的,是根据当前通信双方状态而动态建立的表项。每个会话在数据交换之前,在防火墙上都必须建立连接。如果防火墙建立连接速率较慢,在
客户端反映是每次通信有较大延迟。因此支持的指标越大,转发速率越高。在受到攻击时,这个指标越大,抗攻击能力越强。这个指标越大,状态备份能力越强。
3、并发连接数目
由于防火墙是针对连接进行处理报文的,并发连接数目是指的防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
2.2.5防火墙设备的使用原则
?防火墙应该放在网络中的汇聚点,需要保证保护的网络流量必须全部经过防火墙。
?默认情况下,防火墙的规则一般是禁止所有的访问。在最小授权的原则下,根据需要配置这种安全策略开放网络访问权限。
?防火墙自身一定要是安全的。防火墙的安全性能取决于防火墙是否基于安全的操作系统和是否采用专用的硬件平台,防火墙设备属于一个
基础网络设备,一定要保证防火墙可以长时间不间断运行,其硬件可
靠性是非常关键的。
?防火墙必须能够抵御多种多样的网络攻击,并且能够阻断蠕虫病毒的传播,保证内部网络的安全。
?防火墙必须支持完善的地址转换(NAT)功能,以满足企业用户多种需求。
?防火墙对企业网络业务的支持能力必须全面。防火墙仅仅支持简单的IP数据策略能力是不够的,随着网络中多种业务的应用,例如多媒体
应用、网络语音业务、即时通信业务,防火墙必须能够完全支持这些
业务的安全策略。
?防火墙必须支持功能完善的VPN特性。VPN技术为企业关键数据提供加密保护服务,是防火墙必不可少的安全模块。
?根据网络的实际需要选择性能、功能均能满足的防火墙。如果防火墙不能满足实际网络业务的需要,会造成网络的阻塞、中断,不仅不能
给企业用户提供安全保护,反而造成更大的损失。
2.2.6安全策略控制
2.2.6.1灵活的规则设定
USG 200B系列统一安全网关可以支持灵活的规则设定,可以根据报文的特点方便的设定各种规则。
?可以依据报文的协议号设定规则
?可以依据报文的源地址、目的地址设定规则
?可以使用通配符设定地址的范围,用来指定某个地址段的主机
? 针对UDP和T CP还可以指定源端口、目的端口
?针对目的端口、源端口可以采用大于、等于、介入、不等于等方式设定端口的范围
?针对ICMP协议,可以自由的指定ICMP报文的类型和C ode号,可以通过规则针对任何一种ICMP报文
?可以针对IP报文中的TOS域设定灵活的规则
2.2.6.2基于时间段的规则管理
?USG 200B系列统一安全网关的A CL策略管理支持时间段,可以采用两种方式定义时间段:绝对时间范围、周期时间范围。例如可以定义
从2004年1月1号到2004年5月1号这样的时间范围,也可以定义每周一、
三、五的下午13:00~15:00这样的周期时间范围。
?通过时间段,USG200B系列统一安全网关可以非常容易的定制基于时间的策略,例如工作期间不允许使用MSN、QQ等,而下班时间
可以使用等。
?所有基于A CL控制的策略,都可以使用时间段特性。例如地址转换服务也是依靠ACL来定义地址转换的策略,因此依靠时间段特性也可
以定义更灵活的地址转换服务。QoS特性也可以使用A CL来定义各种
不同的数据流,因此时间段也可以使用在QoS服务上,为不同的时间范
围定义不同的流量策略。
2.2.6.3MAC地址和IP地址绑定
USG 200B 系列统一安全网关根据用户配置,将MAC和IP 地址进行绑定从而形成关联关系。对于从该IP地址发来的报文,如果MAC地址不匹配则被丢弃;对于发往该IP地址的报文都被强制发送到指定的MAC地址处,从而有效避免IP地址假冒的攻击行为。
2.2.6.4动态策略管理-黑名单技术
USG 200B 系列统一安全网关可以将某些可疑报文的源IP地址记录在黑名单列表中,系统通过丢弃黑名单用户的所有报文,从而有效避免某些恶意主机的攻击行为。
USG 200B系列统一安全网关提供如下几种黑名单列表维护方式:
?手工添加黑名单记录,实现主动防御
?与攻击防范结合自动添加黑名单记录,起到智能保护
?可以根据具体情况设定“白名单”,使得即使存在黑名单中的主机,依然可以使用部分的网络资源。例如,即使某台主机被加入到了黑
名单,但是依然可以允许这个用户上网。
黑名单技术是一种动态策略技术,属于响应体系。USG 200B系列统一安全网关在动态运行的过程中,会发现一些攻击行为,通过黑名单动态响应系统,可以抑制这些非法用户的部分流量,起到保护整个系统的作用。
2.2.6.5多种认证手段
USG 200B系列统一安全网关提供了认证、授权和计费的一致性框架,对网络访问安全进行了集中管理。
USG 200B 系列统一安全网关提供本地认证、标准RADIUS(Remote
Access Dial-In User Service)认证、华为RADIUS+认证、HWTACACS(Huawei Terminal Access Controller Access Control System)认证。提供明文、MD5(Message-Digest Algorithm5)鉴权等手段,支持本地用户管理,可验证用户身份的合法性并为合法用户进行授权,防止非法用户进行访问。
此外,USG 200B系列统一安全网关还可以和华赛Portal Server配合提供安全的在线IP检测,防止伪造IP的攻击,并且可以和华为CAMS计费系统一起提供计费能力,为IDC 或商业小区等提供按流量、时间等多种计费方式。
2.3加密认证网关维护介绍
2.3.1产品部署环境介绍
电力专用加密认证网关安置在电力控制系统的内部局域网与电力调度数据
网络的
路由器之间,用来保障电力调度系统纵向数据传输过程中的数据机密性、完整性和真实性。按照“分级管理”要求,纵向加密认证网关部署在各级调度中心及下属的各厂站,根据电力调度通信关系建立加密隧道(原则上只在上下级之间建立加密隧道),加密隧道拓扑结构是部分网状结构
2.3.2安全策略配置
加密认证网关位于电力控制系统的内部局域网与电力调度数据网络的路由器之间,为透明安全防护装置。网关的内网接口连接内部局域网,外网接口连接数据网,每个网络接口可以设置一个或者多个虚拟地址。加密认证网关的安全策略设置主要包括系统配置、 IP 地址配置、 IP 路由, VLAN,规则,隧道信息,管理信息等。
2.3.2.1系统信息配置
系统配置主要配置加密认证网关的系统信息,主要包括以下几个内容:
? 系统名称:装置的名称,便于远程标识装置的基本信息。
?网关地址:加密网关的外网地址或者外网卡上用于被管理或审计所设置的地址。
?远程地址:远程的装置管理系统、日志审计系统或者远程调试计算机的网络地址。
?系统类型:包括装置管理、日志审计、远程调试
?证书:在系统类型配置为装置管理时必须配置相应的装置管理的证书名称
?在这个界面中可以对装置系统信息作一系列操作例如:增加、修改、删除、上传、下载等。
2.3.2.2网络信息配置
加密认证网关共有 5 个以太网接口,其中任意网口都可以设置成内网口或者外网口。在实际的配置中,需要对加密认证网关的网络接口配置虚拟地址以便和内外网进行通信,内外网虚拟地址可以为相同网段,也可以为不同网段。
在网络信息配置界面中可以对装置网络信息作一系列的配置如:
增加、修改、删除、上传、下载等。
2.3.2.3路由信息配置
加密认证网关需要对加密和解密过的IP 报文进行路由选择,路由配置信息针对加密网关的内外网虚拟地址,通过路由地址关联内外网的网络地址信息。在这个界面中可以对装置路由信息作一系列的配置例如:增加、修改、删除、
上传、下载等。
2.3.2.4隧道配置
隧道为加密认证网关之间协商的安全传输通道,隧道成功协商之后会生成
通信密
钥,进入该隧道通信的数据由通信密钥进行加密,隧道可以设置隧道周期和隧
道容量,当隧道的通信时间达到指定传输周期后或者数据通信量达到指定容量后,加密网关之间会重新进行隧道密钥的协商,保证数据通信的安全。
2.3.2.5策略配置
加密通信策略用于实现具体通信策略和加密隧道的关联以及数据报文的综
合过滤,加密认证网关具有双向报文过滤功能,与加密机制分离,独立工作,
在实施加密之前进行。过滤策略支持:
源 IP 地址(范围)控制;
目的 IP 地址(范围)控制;
源 IP(范围)+目的 IP 地址(范围)控制;
协议控制;
TCP、 UDP协议+端口(范围)控制;
源 IP 地址(范围)+TCP、 UDP协议+端口(范围)控制;
目标 IP 地址(范围)+TCP、UDP协议+端口(范围)控制。
2.3.2.6地址转换配置
加密认证网关系统支持地址转换(地址伪装、源地址转换和目的地址转换),保护内网私有地址。加密网关开启 IP 伪装功能时,当数据包经过加密网关发送到外部网络时,会将数据包的源地址改变成加密网关的外网虚拟地址,而经过转换的数据包可以在外网中完整路由。此时内网地址为需要地址转换的内网网络地址,外网地址为伪装地址。有时候内网私有地址对外提供网络服务,为了保证内网资源的安全,这时可以将内网的网络服务映射到加密网关的外网虚拟地址上,外网用户可通过访问加密网关的外网虚拟地址的服务达到访问内网服务的目的。在这种转换方式下,需要开启加密网关的目的地址转换功能。
2.3.2.7桥接配置(多进多出配置)
多进多出工作模式其作用就相当于一个局域网交换机,可以实现将装置的某几个网卡虚拟成一个网卡和外界通信,用户可以将虚拟网卡当成具体的网卡来使用,可以在隧道配置中设置相应的规则,以虚拟网卡地址和对端的加密装置协商从而实现多入多出的通信
2.3.2.8MAC 地址绑定
在网络管理中,IP 地址盗用现象经常发生,不仅对网络的正常使用造成影响,同时由于被盗用的地址往往具有较高的权限,因而也对用户造成了大量的经济上的损失和潜在的安全隐患。为了防止IP 地址被盗用,可以在代理服务器端分配IP 地址时,把IP地址与网卡地址进行捆绑。MAC 地址绑定模块用于实现将具体的通信地址和网卡绑定,只允许相应的 mac 地址的网卡使用某个 IP 地址和外界通信,如果更换网卡就必须重新进行相应的配置。
2.3.3系统调试
2.3.3.1网关硬件诊断
加密网关内嵌电力专用密码模块和智能IC 接口模块,为了排查加密网关系统有可能出现的数据通信错误,配置管理软件提供了对数据加密模块和智能读写器设备的调试诊断功能。
1) 加密单元设备调试
点击工具栏中的“加密卡调试”,则出现下面的界面,选择硬件类型中的”加密卡硬件”,点击“测试”,加密网关自动对加密单元进行检测,测试结果显示到调试界面上。
2) 智能 IC卡单元测试
点击硬件测试的IC 卡测试按钮,加密网关自动对智能IC 读写器单元进行检测,测试结果显示到调试界面上。
2.3.3.2SPING 调试
SPING 调试用于确认和对端加密网关的连通情况,在 SPING 调试界面中输入对端加密网关的外网虚拟 IP 地址、测试次数和时间,点击“开始”,网关自动探测端装置并返回测试结果
2.3.3.3日志管理
加密网关具备专用安全日志存储单元,可以对装置日志进行审计。点击导航栏或者菜单中的“日志审计”,则将从装置中载入加密日志并自动解密分析其内容,为安全审计提供基础数据源
2.3.3.4配置备份和恢复
加密网关配置备份模块用于将装置中的相关配置信息备份至本地,配置恢复模块用于将本地的配置文件同步更新到加密网关中