科学仪器设备升级改造技术项目任务书19023.docx
《科学仪器设备升级改造技术项目任务书19023.docx》由会员分享,可在线阅读,更多相关《科学仪器设备升级改造技术项目任务书19023.docx(17页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、编号:20010088125664科 学 仪仪 器 设设 备 升升 级 改改 造 技技 术 项项 目任 务 书书项目名称:思科65系列交换机流量控制技术研究承担单位:山东轻工业学院主管部门:山东省教育厅项目负责人:潘岩通讯地址:山东省济南市西部新城大学科技园邮政编码:250353山东省科技技厅山东省财政政厅2010年年8月122日填 写 说说 明 11、本任务务书为组织织申报“科科学仪器设设备升级改改造技术专专项”工作作的主要文文件。各项项内容须认认真、如实实填写,表表内栏目不不能空缺,无无此项内容容时填“无无”。 22、“项目目名称”要要简洁、明明确,字数数不超过220个汉字字。 3、封封面
2、“承担担单位”只只填写第一一承担单位位,名称与与公章一致致,不得省省略。“主主管部门”为为第一承担担单位的上上级主管部部门。 44、封面上上“编号”、“主主管部门”、“邮邮政编码”、“底底端日期”由由系统自动动生成。 5、“基基本情况表表”中“项项目负责人人信息”的的“项目来来源”栏填填写资助项项目的部门门及计划名名称,“执执行情况”栏栏根据项目目的实际情情况填写“已已通过验收收”、“按按计划进行行”、“延延期”或“未未通过验收收”等。 6、书面面材料A44纸打印装装订(简单单装订即可可,请不要要用任何夹夹子装订)。 7、书面面材料经申申报单位审审核后,加加盖申报单单位和主管管部门公章章寄送工
3、作作组,确保保书面材料料与网上报报送材料一一致。 一、基本情情况表:项目编号2010008122564项目名称思科655系列交换换机流量控控制技术研研究类别创新方法法研究 (科学方法法) 申报单位第一申报单位:山东轻工业学院 第一申报单单位地址山东省济济南市西部部新城大学学科技园 邮政政编码: 2503353项目负责人人信息姓 名潘岩性 别男 出生日期197600728职 称副教授所学专业计算机软件件与理论现从事专业业计算机网络络职 务网络中心主主任电 话1596331387788传 真885555258E-maiilpysddili.edu.承担项目目工作情况况(包括正正在进行或或已完成项项
4、目)项目名称项目来源省科技经费费(万元)起止时间执行情况面向玻璃纤纤维制造企企业的能源源消耗监控控系统成果转化52009年年8月-20011年88月按计划进行行项目内容该该项目为根根据思科FFWSM防防火墙模块块,做出针针对思科大大型设备665系列的的每个端口口进行流量量控制,针针对端口、IIP地址进进行网络流流量精细化化管理。做做到全网流流量负载均均衡。有效效控制网络络带宽。确确保网络带带宽控制在在合理范围围之内。同同时针对网网络应用做做出精细访访问控制。总经费(万万元)15自筹经费5申请专项经经费10二、可行性性报告:(一)目的的意义:由由于国家对对教育事业业的重视,以以及学校信信息化的建
5、建设和发展展,校园网网也变得越越来越完善善,目前大大部分学校校都具有独独立的专线线接入和独独立.(网站)、EEmaill(邮件服服务器)、DNS(域名服务器)、FTP等许多应用服务器。形成了功能完善的网络综合办公系统、网上教学平台和教学网站。作为一个国家人才培养基地的高校,其校园网的建设则更是推进素质教育、迎接知识经济时代的需要。近年来,随着P2P端到端的应用蓬勃发展,以BT、迅雷等为代表的应用已经成为网络流量中的主要部分。这类应用的特点是:通讯流量巨大、种类繁多、无固定服务端口、特征变化迅速、检测困难。P2P即PeertoPeer,称为对等连接或对等网络。其中建立在TCPIP协议之上的通信模
6、式构成了今日互联网的基础,从基础技术角度看,P2P不是新技术,而是新的应用技术模式。P2P应用迅速发展壮大,如今P2P消耗了太多的网络资源,大量挤占了各种互联网应用和用户的资源,影响了整个互联网的服务质量。另外,还有部分学生用户私自架设BBS、论坛等应用程序,若是建起下载的网站,则对校园网的正常应用影响更甚,而且由于管理不严对我国当前的网络应用l监管有着消极的影响。因此,若校园网的网络流量不能有效控制,则使得数字化校园的应用成果则会被窃取,而正常的网络应用却会受到限制。确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障,这就需要对校园网络进行监管,它是指监督、组织和
7、控制网络通信服务以及信息处理所必需的各种活动的总称。网络监管能够解决带宽不合理占用,网络搠塞、安全隐患等问题,以保障关键业务的服务质量和提高用户上网体验。而其中流量管理控制技术将渗透到网络的每一个环节,使未来网络成为一个可以快速、高效、准确识别网络中业务流、提供区分服务的智能网络,是校园网络管理的一个重要方面。该项目就是利用学校原有高端思科6513交换机,配置FWSM模块,进行对网络流量的精细化管理和控制,限制部分用户的应用服务,使得学校有限网络带宽得到最大限度的利用。更好的为教学、科研服务。 (二)主要要工作内容容及技术指指标主要工作内内容:a、合合理优化网网络结构,实实现校园网网的精细化化
8、管理。IInterrnet和和大规模部部署的校园园网络已经经为网络管管理带来了了很多新的的挑战。网网络出现了了很多新的的问题,如如网络出口口拥塞、病病毒泛滥和和P2P软软件滥用网网络资源。作作为校园网网管理员需需要监视校校园网络中中的关键资资源,对性性能问题、网网络入侵和和错误请求求进行检测测,长期跟跟踪通信流流发展趋势势以预测未未来的容量量需求,需需要每天、每每周和每月月都进行数数据的收集集。利用收收集的数据据,一方面面总结当前前网络应用用情况提供供分析数据据,更有效效的发挥校校园网对教教学科研的的支持。另另一方面,对对网络的使使用情况进进行度量,为为网络故障障诊断和作作出正确决决策提供了了
9、所必需的的性能深入入分析,并并为未来网网络容量的的计划和网网络优化提提供数据基基础。b、IIP流量数数据获取及及分析:利利用Cissco交换换机自装备备的嵌入式式minii-RMOON代理,获获取基本的的网络统计计数据,监监控网络个个端口/VVLAN的的详细流量量分析,如如链路利用用率、分组组大小分布布、冲突、错错误分布、以以及每一网网络端口的的广播和组组播通信流流级别。并并通过设置置阈值、触触发报警和和向网络管管理基站发发送软中断断等手段来来监视网络络中的关键键条件。cc、网络异异常流量,如如网络病毒毒的流量分分析,定位位:通过报报警和事件件群组启用用预防性的的事先管理理功能。研研究如何为为
10、任何关键键统计数据据设置阈值值,如设置置每个交换换机端口的的利用率、组组播级别、或或故障率阈阈值。以及及如何界定定阙值的有有效合理性性,使阈值值与在交换换机内取样样进行对比比评估,当当阈值被超超过时在网网络中产生生通信流,作作为不正常常网络事件件的预警。进进而通知管管理员一个个重要事件件已经发生生,而且可可能需要采采取进一步步的措施。d、网络流的研究:通过在给定的源端点和目的地端点之间的IP单播数据报序列的研究,分析各个用户对网络的占用,以及各种网络应用对网络流量的占用。TopN用户分析,TopN应用分析后可以针对每一个用户和应用提供具有个性的安全功能、服务质量(QoS)以及通信流记帐信息等服
11、务,实现校园网的精细化管理。FWSM模块技术指标:l吞吐量=5.5Gbps;l并发连接数=一百万个l每秒建立和断开连接=10万个l并发NAT=256000个l并发PAT转换=256000个l支持巨型以太网分组(8500字节)lVLAN接口=1000个l在路由模式下,每安全环境=256个VLANl在透明模式下,每安全环境=8个VLAN对lACL=80000个l20、50、100和250个虚拟防火墙许可证l2个虚拟防火墙和1个管理环境使用后应达到技术指标:a、在不增加带宽的情况下,使得网络出口流量至少在一个月的范围内维持在80%-90%之间,各个端口网络带宽合理分配。b、通过ACL设置以及时间段设
12、置,使得学生用户消除不合理使用网络现象。使得网络更好的为教学、科研服务。c、使得思科6513核心交换机CPU负载至少在一个月内控制在10%以下。有效保护内网、防范来自外网的攻击至少半年以上。(三)技术术路线该项项目采用思思科FWSSM模块进进行各种策策略设计,该该设备采用用了PIXX技术,是是一种经过过强化的内内嵌系统,可可以消除安安全漏洞,防防止各种可可能导致性性能降低的的损耗。可可以利用思思科FWSSM来跟踪踪整个校园园网通信的的状态,以以防止未授授权网络接接入。通过过FWSMM的智能应应用感知型型检测引擎擎来检查第第四到七层层的网络流流量,进而而提供强大大的应用层层安全性,包包括IP语语
13、音(VooIP)、多多媒体、即即时消息和和对等应用用安全保护护。利用安安装在CiiscoCataalystt65113交换机机中的思科科FWSMM防止未经经授权的用用户进入企企业网络的的特定子网网、工作组组和LANN。交换机机上的任意意物理端口口都可通过过配置运行行防火墙策策略和进行行防御,从从而无需更更多配置和和布线即能能方便地部部署,并在在现有网络络基础设施施中提供防防火墙安全全。思科FFWSM提提供的服务务虚拟化,支支持透明模模式(第二二层)和路路由模式(第第三层),包包括网络地地址转换(NAT)、访问控控制列表(ACL)、检测引引擎、简单单网络管理理协议(SSNMP)、系统日日志和动态
14、态主机控制制协议(DDHCP)等。利用用FWSMM提供的服服务虚拟化化实现校园园网在同一一物理基础础设施上,为为不同需求求的校园网网用户或职职能部门,执执行不同的的策略。虚虚拟化有助助于降低管管理多个设设备的成本本和复杂度度,从而在在用户增加加时更方便便地添加或或删除安全全环境。该该设备可以以将每个66513上上的每个端端口、每个个VLANN虚拟成一一个防火墙墙端口,如如下图:利利用FWSSM资源管管理器限制制在各时间间段分配给给每个安全全环境的资资源,以确确保高可用用性。以防防止某些环环境占用所所有资源并并拒绝其他他环境利用用这些资源源。资源包包括连接、本本地主机、NNAT、AACL、带带宽
15、、检测测速率和系系统日志速速率。FWWSM在互互联网边缘缘使用,可可通过配置置,将虚拟拟防火墙映映射到虚拟拟路由和转转发实例,在在校园网上上提供全面面的流量隔隔离和安全全。FWSSM以基于于网络的防防火墙服务务为基础,还还可通过智智能的应用用感知型检检测引擎来来检查第四四到七层的的网络流量量,从而提提供强大的的应用层安安全。为帮帮助网络防防御应用层层攻击,这这些检测引引擎运用了了广泛的应应用和协议议知识,并并采用了安安全实施技技术,包括括协议异常常检测、应应用和协议议状态跟踪踪、双向NNAT服务务、双向AACL、端端口地址转转换(PAAT)和攻攻击检测,以以及防御技技术,如应应用/协议议命令过
16、滤滤、内容验验证、模糊糊URL和和URL过过滤等。这这些检测引引擎可帮助助企业控制制即时消息息、对等文文件共享和和隧道化应应用。a、虚虚拟防火墙墙技术FWWSM模模块使用虚虚拟防火墙墙技术可建建立多个防防火墙,对对有关概念念的正确理理解有助于于快速地安安装和配置置防火墙。(1)虚拟防火墙在FWSM中Context(上下文)实际上就是虚拟防火墙,每一个context就像一个独立的防火墙一样有它自己的安全策略、接口和配置选项。默认的软件许可可以建立2个context(虚拟防火墙)和1个admincontext(管理用虚拟防火墙),建立更多虚拟防火墙需要购买软件许可。(2)安全策略安全策略用于设定什
17、么流量允许通过防火墙去访问另一个网络。FWSM在默认时不允许任何流量通过防火墙,通过设置ACL(访问控制列表)确定什么IP地址和类型数据包可以通过接口去访问其它的网络。设定ACL的方法与思科交换机和路由器上使用方式基本一致。(3)VLAN接口FWSM没有任何外部物理端口,它是通过背板与交换机进行数据传输。我们可以理解为每一块FWSM是通过1个5Gbps接口与交换机连接,通过使用VLAN连接到FWSM的各个虚拟接口。在一台3层交换机上VLAN可分为2层VLAN和3层VLAN。对于2层VLAN数据包只能在VLAN内进行转发,而3层VLAN则可以通过在交换机上的3层模块实现VLAN间的数据转发。在交
18、换机上使用vlanxxx命令建立VLAN,并通过interfacevlanXXX命令定义了IP地址等参数就成为3层VLAN,由交换机上的3层模块实现3层VLAN间路由转发。使用nointerfacevlanXXX命令取消参数可将3层VLAN转变成2层VLAN,此时这些2层VLAN间的数据传输就需要通过其它3层设备如FWSM进行包转发。在配置FWSM时要注意这一点,避免需要通过防火墙的数据包直接由交换机3层模块转发出去。(4)SVI接口SVI(SwitchedVirtualInterface)虚拟交换接口是交换机上逻辑的3层接口,一般只允许1个SVI作为防火墙的VLAN,也就是在FWSM和MSF
19、C(参见下述)之间只允许配置1个3层VLAN;其它的接口均是2层VLAN,这些2层VLAN之间的流量通过FWSM进行转发。(5)路由模式和透明模式FWSM有2种运行模式,一种是路由模式,另一种是透明模式。在路由模式,FWSM可以看成网络中的一台路由器,它可以在内网与外网之间设置路由并进行NAT和PAT地址转换。在透明模式,FWSM可以看成网络接人的一台网桥,对于用户是透明的,根本意识不到防火墙的存在。优点是现有网络无需做任何改动,适用性广,但不能实现NAT地址转换功能。透明模式和路由模式在网络拓扑结构上的区别是:透明模式的两个接口在同一个网段(也和子网在同一个网段);而路由模式的两个接口分别属
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 科学仪器 设备 升级 改造 技术 项目 任务书 19023
限制150内