云時(shí)代面向智慧應(yīng)用的可運(yùn)營(yíng)園區(qū)網(wǎng)絡(luò)建設(shè)

許化棟　山東省郵電規(guī)劃設(shè)計(jì)院有限公司規(guī)劃研究院副院長(zhǎng)，高級(jí)工程師

云時(shí)代面向智慧應(yīng)用的可運(yùn)營(yíng)園區(qū)網(wǎng)絡(luò)建設(shè)

許化棟山東省郵電規(guī)劃設(shè)計(jì)院有限公司規(guī)劃研究院副院長(zhǎng)，高級(jí)工程師

云時(shí)代的到來，高校校園、大型企業(yè)等園區(qū)信息化面臨新的形勢(shì)與需求，如何建設(shè)面向智慧應(yīng)用的園區(qū)承載網(wǎng)絡(luò)是當(dāng)前面臨的重要課題。本文探討云時(shí)代園區(qū)網(wǎng)絡(luò)業(yè)務(wù)需求，給出面向智慧應(yīng)用的園區(qū)網(wǎng)絡(luò)建設(shè)和精細(xì)化運(yùn)營(yíng)方案。

智慧園區(qū)；多業(yè)務(wù)；安全；精細(xì)化運(yùn)營(yíng)；建設(shè)

1　引言

互聯(lián)網(wǎng)云時(shí)代的到來，高校校園、大型企業(yè)等園區(qū)信息化面臨新的形勢(shì)與需求，園區(qū)基礎(chǔ)網(wǎng)絡(luò)建設(shè)直接影響智慧園區(qū)信息化建設(shè)。

高校校園、大型企業(yè)等園區(qū)網(wǎng)絡(luò)通常包含公共區(qū)、辦公區(qū)、生活區(qū)等區(qū)域，園區(qū)內(nèi)需承載普通上網(wǎng)、語音、視頻監(jiān)控、視頻會(huì)議、IPTV等業(yè)務(wù)，但目前園區(qū)普遍針對(duì)重要應(yīng)用無QoS保障機(jī)制、安全性較低、穩(wěn)定性較差、可靠性低、無線覆蓋不完善，基礎(chǔ)網(wǎng)絡(luò)建設(shè)相對(duì)滯后，制約了園區(qū)信息化的發(fā)展，不能滿足智慧園區(qū)的建設(shè)承載需求。

本文正是基于此背景，對(duì)云時(shí)代面向智慧應(yīng)用的可運(yùn)營(yíng)園區(qū)網(wǎng)絡(luò)建設(shè)進(jìn)行探討。

2　智慧園區(qū)業(yè)務(wù)需求分析

隨著信息技術(shù)的發(fā)展與應(yīng)用的普及，以大型企業(yè)、高校等為代表的智慧園區(qū)典型業(yè)務(wù)需求包含傳統(tǒng)語音、視頻會(huì)議、視頻監(jiān)控、IPTV、普通寬帶以及門禁等信息交互智慧應(yīng)用，園區(qū)內(nèi)各類業(yè)務(wù)典型場(chǎng)景應(yīng)用和對(duì)業(yè)務(wù)承載需求見表1。

3　面向智慧園區(qū)網(wǎng)絡(luò)建設(shè)面臨的挑戰(zhàn)

與傳統(tǒng)的園區(qū)網(wǎng)絡(luò)相比，面向智慧園區(qū)網(wǎng)絡(luò)建設(shè)特點(diǎn)和面臨的挑戰(zhàn)如下：

（1）場(chǎng)景復(fù)雜，業(yè)務(wù)多樣，網(wǎng)絡(luò)需具有多業(yè)務(wù)承載能力

園區(qū)囊括辦公區(qū)、居住區(qū)、公共區(qū)等場(chǎng)景，業(yè)務(wù)包括傳統(tǒng)語音、視頻會(huì)議、視頻監(jiān)控、IPTV、普通寬帶以及門禁等信息交互智慧應(yīng)用，且一般園區(qū)接入終端數(shù)量過萬。園區(qū)網(wǎng)絡(luò)應(yīng)適應(yīng)各類場(chǎng)景需要，通過一張網(wǎng)絡(luò)實(shí)現(xiàn)各類業(yè)務(wù)的良好承載。

（2）園區(qū)網(wǎng)絡(luò)安全性與穩(wěn)定性要求高

大型園區(qū)尤其是校園網(wǎng)場(chǎng)景，各種網(wǎng)絡(luò)安全攻擊與威脅多見，傳統(tǒng)的信息安全設(shè)備已逐漸不能滿足業(yè)務(wù)需求。面向智慧應(yīng)用的園區(qū)承載網(wǎng)需解決多維接入認(rèn)證、分權(quán)分域管理、行為監(jiān)管、預(yù)防網(wǎng)絡(luò)攻擊等安全性問題，并需統(tǒng)籌考慮網(wǎng)絡(luò)、線路和設(shè)備的可靠性以確保網(wǎng)絡(luò)整體可靠性。

表1　園區(qū)典型場(chǎng)景業(yè)務(wù)與承載需求

（3）園區(qū)網(wǎng)絡(luò)要求有效管控用戶帶寬

以P2P為代表的新型互聯(lián)網(wǎng)應(yīng)用，對(duì)帶寬的占用迅速增長(zhǎng)，并且傳播內(nèi)容難以管控。面向智慧應(yīng)用的園區(qū)網(wǎng)絡(luò)需有效控制應(yīng)用帶寬、阻斷非法內(nèi)容傳播、實(shí)現(xiàn)基于業(yè)務(wù)的流量監(jiān)管。

（4）園區(qū)網(wǎng)絡(luò)要求計(jì)費(fèi)認(rèn)證靈活和易于管理

隨著移動(dòng)互聯(lián)網(wǎng)和智能終端飛速發(fā)展，傳統(tǒng)802.1x方式已經(jīng)難以滿足接入終端多樣化的需求，面向智慧應(yīng)用的園區(qū)網(wǎng)絡(luò)需建設(shè)更便捷、更具普適性的接入認(rèn)證計(jì)費(fèi)方案，并實(shí)現(xiàn)全網(wǎng)設(shè)備有效網(wǎng)管、快速問題定位和處理。

（5）園區(qū)網(wǎng)絡(luò)Internet出口一般多點(diǎn)接入

大型園區(qū)網(wǎng)絡(luò)往往通過連接多運(yùn)營(yíng)商等方式實(shí)現(xiàn)多出口接入Internet，面向智慧應(yīng)用的園區(qū)網(wǎng)絡(luò)需實(shí)現(xiàn)出口流量的優(yōu)化選擇和負(fù)載均衡。

4　面向智慧應(yīng)用的園區(qū)網(wǎng)絡(luò)建設(shè)方案

4.1建設(shè)目標(biāo)

面向智慧應(yīng)用的園區(qū)網(wǎng)絡(luò)建設(shè)目標(biāo)是：通過園區(qū)內(nèi)一張網(wǎng)絡(luò)，實(shí)現(xiàn)各類業(yè)務(wù)統(tǒng)一承載，將園區(qū)網(wǎng)絡(luò)建設(shè)成為一張安全可靠、可管理、可控制、可精細(xì)運(yùn)營(yíng)、可提供差異化服務(wù)的綜合信息承載網(wǎng)，滿足智慧園區(qū)的信息化承載需求。

4.2設(shè)計(jì)思路

結(jié)合面向智慧應(yīng)用的園區(qū)業(yè)務(wù)需求和網(wǎng)絡(luò)建設(shè)目標(biāo)，網(wǎng)絡(luò)設(shè)計(jì)思路和功能目標(biāo)如下：

（1）一張網(wǎng)絡(luò)實(shí)現(xiàn)多業(yè)務(wù)承載

園區(qū)內(nèi)通過建設(shè)一張IP網(wǎng)絡(luò)，實(shí)現(xiàn)傳統(tǒng)語音、視頻會(huì)議、視頻監(jiān)控、IPTV、普通寬帶以及門禁等信息交互智慧應(yīng)用的綜合承載。網(wǎng)絡(luò)應(yīng)具備如下能力：

●用戶及業(yè)務(wù)的隔離。能對(duì)用戶、業(yè)務(wù)進(jìn)行區(qū)分、隔離和單獨(dú)管控，不同用戶不同業(yè)務(wù)使用互不影響。

●網(wǎng)絡(luò)應(yīng)具備端到端服務(wù)質(zhì)量保障。能夠提供端到端的服務(wù)質(zhì)量保障，實(shí)現(xiàn)對(duì)于網(wǎng)絡(luò)協(xié)議控制管理、語音、視頻類數(shù)據(jù)流根據(jù)協(xié)議類型來進(jìn)行分類和標(biāo)記，保障不同業(yè)務(wù)質(zhì)量和用戶感知。

（2）網(wǎng)絡(luò)安全性設(shè)計(jì)

●可通過對(duì)終端鑒別和授權(quán)，能對(duì)仿冒終端的識(shí)別、隔離與控制。

●能抑止合法終端的非法活動(dòng)如網(wǎng)絡(luò)攻擊、病毒等。

（3）網(wǎng)絡(luò)可靠性設(shè)計(jì)

●網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)合理，拓?fù)浜?jiǎn)單，易于擴(kuò)展，支持可持續(xù)發(fā)展。

●主要網(wǎng)絡(luò)設(shè)備主控板、端口、電源等實(shí)現(xiàn)冗余備份，主要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行設(shè)備、鏈路雙備份，日常流量負(fù)荷分擔(dān)，一旦某鏈路或節(jié)點(diǎn)出故障時(shí)可實(shí)現(xiàn)自動(dòng)切換，保障關(guān)鍵業(yè)務(wù)不中斷。

（4）網(wǎng)絡(luò)管理與精細(xì)化運(yùn)營(yíng)需求

●支持接入方式多樣、計(jì)費(fèi)策略靈活。

●可以通過域管理進(jìn)行用戶區(qū)分，為用戶提供不同帶寬和權(quán)限。

●統(tǒng)一網(wǎng)絡(luò)管理?？舍槍?duì)某具體網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)遠(yuǎn)程管理、配置、實(shí)現(xiàn)遠(yuǎn)程啟閉、使能或禁止網(wǎng)絡(luò)接入等功能。

●實(shí)現(xiàn)網(wǎng)絡(luò)定位。網(wǎng)絡(luò)接入設(shè)備位置信息與GIS地理信息結(jié)合，可以確定有線無線網(wǎng)絡(luò)接入設(shè)備的物理地理位置信息，幫助實(shí)現(xiàn)門禁、考勤等信息化應(yīng)用。

●大數(shù)據(jù)分析處理。園區(qū)上網(wǎng)會(huì)產(chǎn)生大量的網(wǎng)絡(luò)訪問信息。例如，上網(wǎng)時(shí)間、下網(wǎng)時(shí)間、上網(wǎng)地點(diǎn)、訪問的網(wǎng)頁等，通過統(tǒng)計(jì)分析，可以了解用戶在某一段時(shí)間關(guān)注內(nèi)容、熱點(diǎn)等，可據(jù)此加以引導(dǎo)、管控。

（5）無線網(wǎng)絡(luò)全覆蓋要求。

●采用靈活的無線覆蓋手段。結(jié)合場(chǎng)景，可以采用室外大功率覆蓋、室內(nèi)放裝覆蓋、室內(nèi)分布系統(tǒng)覆蓋等方式進(jìn)行無線網(wǎng)絡(luò)覆蓋。

●無線網(wǎng)絡(luò)容量充足。對(duì)于人員密集場(chǎng)所能滿足大并發(fā)量用戶的上網(wǎng)需求。

●移動(dòng)漫游管理。實(shí)現(xiàn)無線接入用戶的無縫漫游，使無線終端在熱點(diǎn)區(qū)域漫游時(shí)不再受限于有線網(wǎng)絡(luò)。

4.3網(wǎng)絡(luò)建設(shè)方案

（1）基礎(chǔ)網(wǎng)絡(luò)建設(shè)

為滿足智慧園區(qū)業(yè)務(wù)需求，面向智慧應(yīng)用的可運(yùn)營(yíng)園區(qū)網(wǎng)整體邏輯架構(gòu)，可分為基礎(chǔ)網(wǎng)絡(luò)區(qū)、數(shù)據(jù)中心區(qū)、DMZ區(qū)、出口互聯(lián)區(qū)和運(yùn)維管理區(qū)5個(gè)部分。其中，基礎(chǔ)網(wǎng)絡(luò)區(qū)可分為出口層、核心層、匯聚層、接入層和應(yīng)用層?；A(chǔ)網(wǎng)絡(luò)建設(shè)架構(gòu)見圖1。

圖1　網(wǎng)絡(luò)架構(gòu)圖

網(wǎng)絡(luò)各層主要功能說明和功能如下：

●出口層為高性能防火墻綜合設(shè)備，具有高性能的NAT功能、防御網(wǎng)絡(luò)攻擊以及流量管控能力，同時(shí)能針對(duì)出口多線路實(shí)現(xiàn)負(fù)載均衡，以提高網(wǎng)絡(luò)多線路資源的利用率。

●核心層主要由BRAS和核心交換機(jī)組成。BRAS實(shí)現(xiàn)認(rèn)證、統(tǒng)一實(shí)名制管理。核心交換機(jī)負(fù)責(zé)整個(gè)園區(qū)內(nèi)部互聯(lián)、業(yè)務(wù)轉(zhuǎn)發(fā)。核心交換機(jī)中集中部署WLAN AC板卡，實(shí)現(xiàn)有線無線流量深度融合和管理，規(guī)避AC設(shè)備單獨(dú)部署后通過有線轉(zhuǎn)發(fā)時(shí)無線流量存在瓶頸的問題，同時(shí)又節(jié)省投資、減少網(wǎng)絡(luò)故障點(diǎn)。

●匯聚層主要實(shí)現(xiàn)各接入設(shè)備和業(yè)務(wù)的匯聚和收斂，功能上主要實(shí)現(xiàn)QinQ標(biāo)記、二層VLAN的透?jìng)?，便于網(wǎng)絡(luò)的擴(kuò)展與組織。

●接入層由接入交換機(jī)、AP或PON組成，將校園用戶有線和無線的各類終端實(shí)現(xiàn)網(wǎng)絡(luò)接入。業(yè)務(wù)實(shí)現(xiàn)接入時(shí)，通過不用VLAN等方式進(jìn)行用戶/業(yè)務(wù)的邏輯區(qū)分和隔離。

園區(qū)匯聚/接入層有線接入可以采用PON組網(wǎng)，也可以采用純LAN模式組網(wǎng)，實(shí)現(xiàn)各種終端接入。傳統(tǒng)LAN模式需設(shè)置有源匯聚層交換機(jī)進(jìn)行業(yè)務(wù)匯聚，層次相對(duì)復(fù)雜，用戶側(cè)較難以保障一根纜線入戶實(shí)現(xiàn)多業(yè)務(wù)隔離和網(wǎng)絡(luò)質(zhì)量保障，如需多業(yè)務(wù)隔離和質(zhì)量保障需采用多條纜線分別延伸至用戶末端接入各類業(yè)務(wù)；PON模式采用無源設(shè)備擴(kuò)展，帶寬利用率高，且用戶側(cè)通過ONT擴(kuò)展能實(shí)現(xiàn)末端一根纜線入戶、多種業(yè)務(wù)的隔離，對(duì)多業(yè)務(wù)具有較好的承載性。建議新建面向智慧應(yīng)用的園區(qū)網(wǎng)絡(luò)采用PON網(wǎng)絡(luò)組網(wǎng)；綜合考慮網(wǎng)絡(luò)現(xiàn)狀，如果園區(qū)原LAN設(shè)備可網(wǎng)管、支持VLAN、線纜具備部署條件或能滿足業(yè)務(wù)使用需要，也可采用LAN組網(wǎng)，但如進(jìn)行網(wǎng)絡(luò)設(shè)備改造時(shí)，也可采用10G PON+LAN進(jìn)行網(wǎng)絡(luò)升級(jí)改造（見圖2）。

園區(qū)無線網(wǎng)絡(luò)主要通過WLAN接入，部分特殊場(chǎng)景通過室內(nèi)分布系統(tǒng)覆蓋。WLAN覆蓋規(guī)劃與建設(shè)應(yīng)根據(jù)用戶分布和業(yè)務(wù)需求，滿足各類場(chǎng)景下交互終端應(yīng)用需求。為避免信號(hào)干擾，WLAN信道規(guī)劃遵循蜂窩覆蓋、信道間隔原則，AP可交替使用2.4G的1、6、11信道及5.0G的36、40、44信道；為擴(kuò)大用戶密集場(chǎng)景下網(wǎng)絡(luò)容量，WLAN可進(jìn)行雙頻組網(wǎng)。WLAN單頻和雙頻覆蓋組織示意見圖3。

圖2　基于PON和LAN網(wǎng)絡(luò)的園區(qū)承載網(wǎng)絡(luò)方案

圖3　WLAN單頻覆蓋和雙頻覆蓋的示意圖

數(shù)據(jù)中心是園區(qū)數(shù)據(jù)集中存儲(chǔ)區(qū)域，結(jié)合云計(jì)算，統(tǒng)一部署服務(wù)器資源池，為用戶提供云服務(wù)。

網(wǎng)絡(luò)管理區(qū)包含計(jì)費(fèi)服務(wù)器、DHCP服務(wù)器、Portlal服務(wù)器、網(wǎng)管系統(tǒng)等，實(shí)現(xiàn)對(duì)園區(qū)內(nèi)用戶進(jìn)行認(rèn)證和管理，實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)所有設(shè)備的集中管理。

DMZ區(qū)主要提供外網(wǎng)的合法訪問，包括提供公共用戶訪問的公開網(wǎng)站，以及對(duì)應(yīng)的APP服務(wù)，并對(duì)出差的內(nèi)部員工的訪問，提供SSLVPN的安全訪問。

（2）多業(yè)務(wù)承載方式

無線接入網(wǎng)WLAN空口配置WMM調(diào)度，通過SSID與VLAN進(jìn)行1: 1匹配映射，并在有線側(cè)進(jìn)行優(yōu)先級(jí)映射；有線接入網(wǎng)不同用戶和業(yè)務(wù)可通過VLAN實(shí)現(xiàn)隔離，園區(qū)網(wǎng)絡(luò)BRAS以下工作在二層，網(wǎng)絡(luò)部署二層以802.1P為主、三層以Diffserv為主的QoS端到端保障機(jī)制；網(wǎng)絡(luò)開啟PIM-SM+IGMPSnooping組播協(xié)議，組播復(fù)制點(diǎn)設(shè)置在ONU或接入網(wǎng)交換機(jī)，網(wǎng)絡(luò)能較好的支持組播，能保障普通上網(wǎng)、普通電話、視頻會(huì)議、IPTV以及監(jiān)控等業(yè)務(wù)的統(tǒng)一承載。

（3）安全性與可靠性

園區(qū)二層網(wǎng)絡(luò)通過VLAN、PPPoE等方式實(shí)現(xiàn)用戶、業(yè)務(wù)有效隔離，網(wǎng)絡(luò)能有效解決ARP攻擊、網(wǎng)絡(luò)風(fēng)暴等問題；另外，網(wǎng)絡(luò)方案中可融合了安全技術(shù)，部署了綜合防御網(wǎng)關(guān)、網(wǎng)絡(luò)行為審計(jì)、入侵防御設(shè)備、遠(yuǎn)程安全訪問系統(tǒng)等，全網(wǎng)能較好的防御病毒攻擊、不法行為審計(jì)、終端有效管理、遠(yuǎn)程訪問靈活安全等特性，構(gòu)建園區(qū)網(wǎng)全方位、立體化的安全體系。

園區(qū)內(nèi)主要設(shè)備自身雙電源、雙冗余、關(guān)鍵業(yè)務(wù)部署在不同板卡外，關(guān)鍵設(shè)備實(shí)現(xiàn)雙接入、雙冗余、互為備份，尤其是BRAS采用雙機(jī)Session級(jí)熱備份，二層網(wǎng)絡(luò)采用VRRP、BFD、Trunk等替代傳統(tǒng)STP機(jī)制，克服STP收斂時(shí)間長(zhǎng)、鏈路利用率低、配置維護(hù)復(fù)雜、網(wǎng)絡(luò)故障率高和穩(wěn)定性差等問題，提升鏈路可靠性和帶寬利用率，實(shí)現(xiàn)了網(wǎng)絡(luò)各層級(jí)冗余設(shè)計(jì)，保障了網(wǎng)絡(luò)的高可靠性。

（4）IPv6與SDN演進(jìn)

園區(qū)全網(wǎng)采用雙棧模式，IPv6與IPv4均獨(dú)立完整，均保持所需的功能性和安全性；且IPv6結(jié)構(gòu)與IPv4網(wǎng)絡(luò)結(jié)構(gòu)可相同，在網(wǎng)絡(luò)各接入、匯聚、核心、BRAS及數(shù)據(jù)中心設(shè)備等，同時(shí)運(yùn)行IPv4和IPv6協(xié)議，實(shí)現(xiàn)園區(qū)網(wǎng)絡(luò)對(duì)IPv6業(yè)務(wù)全面兼容。

園區(qū)核心交換機(jī)等設(shè)備盡量采用支持一機(jī)雙平面，實(shí)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)平面與增強(qiáng)控制平面可以獨(dú)立部署，并支持基于可編程芯片ENP和POF協(xié)議無感知轉(zhuǎn)發(fā)技術(shù)，可以平滑地過渡到未來SDN時(shí)代的控制與轉(zhuǎn)發(fā)分離架構(gòu)。

5　園區(qū)網(wǎng)絡(luò)精細(xì)化運(yùn)營(yíng)方案

5.1用戶認(rèn)證規(guī)劃

常見的認(rèn)證計(jì)費(fèi)方案主要有Portal/Web、802.1x、PPPoE、IPoE等，各種認(rèn)證方式均具有不同特點(diǎn)、適應(yīng)不同的場(chǎng)景，具體認(rèn)證計(jì)費(fèi)方案比較見表2。

表2　常見認(rèn)證計(jì)費(fèi)方式比較

園區(qū)采用基于BRAS的認(rèn)證方案，可根據(jù)具體不同場(chǎng)景采用適合的認(rèn)證方式，生活區(qū)可采用PPPoE認(rèn)證，辦公區(qū)可采用IPoE認(rèn)證，打印機(jī)、IP電話等啞終端可采用IPoE并配合MAC認(rèn)證的方式，公共區(qū)采用Portal認(rèn)證方式，具體實(shí)現(xiàn)見表3。

表3　園區(qū)不同場(chǎng)景認(rèn)證方式比較

5.2集中網(wǎng)絡(luò)管理

園區(qū)根據(jù)營(yíng)運(yùn)需要，建設(shè)集中網(wǎng)絡(luò)管理系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)中的路由器、交換機(jī)、WLAN、AR和防火墻設(shè)備統(tǒng)一監(jiān)控和統(tǒng)一管理。集中網(wǎng)管系統(tǒng)建設(shè)應(yīng)基于并滿足網(wǎng)絡(luò)的運(yùn)維主要需求：

（1）全網(wǎng)一體化管理

通過集中網(wǎng)管，可以統(tǒng)一監(jiān)控園區(qū)所有交換機(jī)、路由器、安全設(shè)備以及IT設(shè)備，支持拓?fù)淇梢暬負(fù)涔芾?，支持網(wǎng)絡(luò)、設(shè)備有聲告警等。

（2）批量配置管理

向?qū)降臉I(yè)務(wù)部署以及基于表單導(dǎo)入，實(shí)現(xiàn)對(duì)設(shè)備的批量配置，提升管理效率。

（3）性能和故障管理

基于NetFlow、NetStream、sFlow協(xié)議對(duì)網(wǎng)絡(luò)流量進(jìn)行深入分析，收集BRAS、交換機(jī)等數(shù)據(jù)信息，實(shí)時(shí)呈現(xiàn)流量及帶寬使用情況，并具有流量統(tǒng)計(jì)功能，為網(wǎng)絡(luò)故障、帶寬擁塞、異常流量等診斷等提供依據(jù)。

5.3日志管理系統(tǒng)

園區(qū)可建設(shè)日志管理系統(tǒng)，且系統(tǒng)應(yīng)支持專業(yè)NAT溯源，對(duì)用戶上網(wǎng)行為進(jìn)行審計(jì)，對(duì)路由器、防火墻等設(shè)備的會(huì)話日志進(jìn)行采集和分析，實(shí)現(xiàn)NAT信息和用戶數(shù)據(jù)信息關(guān)聯(lián)。

5.4行為安全審計(jì)

園區(qū)可建設(shè)行為安全審計(jì)系統(tǒng)，建議采用旁掛BRAS模式部署，對(duì)整體的網(wǎng)絡(luò)結(jié)構(gòu)完全不造成任何影響，并能通過BRAS把全網(wǎng)上網(wǎng)流量進(jìn)行鏡像到行為安全審計(jì)系統(tǒng)接口，對(duì)流量進(jìn)行分析和記錄。且BRAS可把用戶認(rèn)證的信息，包括用戶賬號(hào)，動(dòng)態(tài)獲得的IP地址對(duì)應(yīng)關(guān)系也一并傳遞到行為安全審計(jì)系統(tǒng)，使系統(tǒng)能實(shí)現(xiàn)完整的行為記錄。

（1）URL訪問審計(jì)

審計(jì)域用戶所訪問的URL，支持審計(jì)所有URL和僅審計(jì)指定分類的URL。

（2）Web內(nèi)容上傳審計(jì)

審計(jì)用戶通過HTTP協(xié)議POST的內(nèi)容，供事后追查在論壇/博客上發(fā)表的不良言論。

（3）Web文件外發(fā)審計(jì)

審計(jì)用戶通過HTTP協(xié)議上傳的文件，審計(jì)用戶Web文件下載通過網(wǎng)站下載的文件名稱、類型和大小，了解用戶下載行為，有效追蹤泄密事件。

（4）郵件審計(jì)

審計(jì)郵件標(biāo)題、郵件內(nèi)容、發(fā)件人、收件人、郵件附件等。

（5）IM聊天審計(jì)

IM審計(jì)需要使用行為安全審計(jì)系統(tǒng)客戶端，可以審計(jì)的IM軟件包括QQ、阿里旺旺、飛信、MSN、雅虎通和Gtalk，可以審計(jì)聊天內(nèi)容和外發(fā)的附件。根據(jù)以上審計(jì)內(nèi)容，形成詳細(xì)的報(bào)告和相關(guān)數(shù)據(jù)趨勢(shì)分析，實(shí)現(xiàn)精準(zhǔn)的違法溯和網(wǎng)絡(luò)行為趨勢(shì)分析。

6　結(jié)束語

本文探討大型企業(yè)、校園等園區(qū)網(wǎng)絡(luò)需求以及網(wǎng)絡(luò)建設(shè)面臨的挑戰(zhàn)，提出可管理、可控制、可精細(xì)化運(yùn)營(yíng)的園區(qū)多業(yè)務(wù)綜合信息承載網(wǎng)絡(luò)解決方案。本方案能有效解決網(wǎng)絡(luò)中遇到的難題，并具有一定的前瞻性，具有SDN、IPv6支持與平滑演進(jìn)能力，能滿足園區(qū)內(nèi)信息化綜合承載和智慧園區(qū)的建設(shè)需求。

［1］張傳福，于新雁，盧輝斌，等.網(wǎng)絡(luò)融合環(huán)境下寬帶接入技術(shù)與應(yīng)用［M］.電子工業(yè)出版社，2011:177-182.

［2］李立.網(wǎng)絡(luò)組建與管理實(shí)用教程［M］.清華大學(xué)出版社，2010:69-79

［3］Nadeau，Gray.軟件定義網(wǎng)絡(luò)［M］.人民郵電出版社，2014: 19-31.

2016-04-10）