《科学仪器设备升级改造技术项目策划任务书》由会员分享,可在线阅读,更多相关《科学仪器设备升级改造技术项目策划任务书(18页珍藏版)》请在金锄头文库上搜索。
1、编号:20100812564科 学 仪 器 设 备 升 级 改 造 技 术 项 目任 务 书项目名称:思科65系列交换机流量操纵技术研究承担单位:山东轻工业学院主管部门:山东省教育厅项目负责人:潘岩通讯地址:山东省济南市西部新城大学科技园邮政编码:250353山东省科技厅山东省财政厅2010年8月12日填 写 讲 明 1、本任务书为组织申报“科学仪器设备升级改造技术专项”工作的要紧文件。各项内容须认真、如实填写,表内栏目不能空缺,无此项内容时填“无”。 2、“项目名称”要简洁、明确,字数不超过20个汉字。 3、封面“承担单位”只填写第一承担单位,名称与公章一致,不得省略。“主管部门”为第一承担
2、单位的上级主管部门。 4、封面上“编号”、“主管部门”、“邮政编码”、“底端日期”由系统自动生成。 5、“差不多情况表”中“项目负责人信息”的“项目来源”栏填写资助项目的部门及打算名称,“执行情况”栏依照项目的实际情况填写“已通过验收”、“按打算进行”、“延期”或“未通过验收”等。 6、书面材料A4纸打印装订(简单装订即可,请不要用任何夹子装订)。 7、书面材料经申报单位审核后,加盖申报单位和主管部门公章寄送工作组,确保书面材料与网上报送材料一致。 一、差不多情况表:项目编号20100812564项目名称思科65系列交换机流量操纵技术研究类不创新方法研究 (科学方法) 申报单位第一申报单位:山
3、东轻工业学院 第一申报单位地址山东省济南市西部新城大学科技园 邮政编码: 250353项目负责人信息姓 名潘岩性 不男 出生日期19760728职 称副教授所学专业计算机软件与理论现从事专业计算机网络职 务网络中心主任电 话15963138788传 真88555258E-mailpysdili.edu.承担项目工作情况(包括正在进行或已完成项目)项目名称项目来源省科技经费(万元)起止时刻执行情况面向玻璃纤维制造企业的能源消耗监控系统成果转化52009年8月-2011年8月按打算进行项目内容该项目为依照思科FWSM防火墙模块,做出针对思科大型设备65系列的每个端口进行流量操纵,针对端口、IP地址
4、进行网络流量精细化治理。做到全网流量负载均衡。有效操纵网络带宽。确保网络带宽操纵在合理范围之内。同时针对网络应用做出精细访问操纵。总经费(万元)15自筹经费5申请专项经费10二、可行性报告: (一)目的意义:由于国家对教育事业的重视,以及学校信息化的建设和进展,校园网也变得越来越完善,目前大部分学校都具有独立的专线接入和独立.(网站)、Email(邮件服务器)、DNS(域名服务器)、FTP等许多应用服务器。形成了功能完善的网络综合办公系统、网上教学平台和教学网站。作为一个国家人才培养基地的高校,其校园网的建设则更是推进素养教育、迎接知识经济时代的需要。近年来,随着P2P端到端的应用蓬勃进展,以
5、BT、迅雷等为代表的应用差不多成为网络流量中的要紧部分。这类应用的特点是:通讯流量巨大、种类繁多、无固定服务端口、特征变化迅速、检测困难。P2P即PeertoPeer,称为对等连接或对等网络。其中建立在TCPIP协议之上的通信模式构成了今日互联网的基础,从基础技术角度看,P2P不是新技术,而是新的应用技术模式。P2P应用迅速进展壮大,现在P2P消耗了太多的网络资源,大量挤占了各种互联网应用和用户的资源,阻碍了整个互联网的服务质量。另外,还有部分学生用户私自架设BBS、论坛等应用程序,若是建起下载的网站,则对校园网的正常应用阻碍更甚,而且由于治理不严对我国当前的网络应用l监管有着消极的阻碍。因此
6、,若校园网的网络流量不能有效操纵,则使得数字化校园的应用成果则会被窃取,而正常的网络应用却会受到限制。确保计算机网络的持续正常运行,并在计算机网络运行出现异常时能及时响应和排除故障,这就需要对校园网络进行监管,它是指监督、组织和操纵网络通信服务以及信息处理所必需的各种活动的总称。网络监管能够解决带宽不合理占用,网络搠塞、安全隐患等问题,以保障关键业务的服务质量和提高用户上网体验。而其中流量治理操纵技术将渗透到网络的每一个环节,使以后网络成为一个能够快速、高效、准确识不网络中业务流、提供区分服务的智能网络,是校园网络治理的一个重要方面。该项目确实是利用学校原有高端思科6513交换机,配置FWSM
7、模块,进行对网络流量的精细化治理和操纵,限制部分用户的应用服务,使得学校有限网络带宽得到最大限度的利用。更好的为教学、科研服务。 (二)要紧工作内容及技术指标要紧工作内容:a、合理优化网络结构,实现校园网的精细化治理。Internet和大规模部署的校园网络差不多为网络治理带来了专门多新的挑战。网络出现了专门多新的问题,如网络出口拥塞、病毒泛滥和P2P软件滥用网络资源。作为校园网治理员需要监视校园网络中的关键资源,对性能问题、网络入侵和错误请求进行检测,长期跟踪通信流进展趋势以预测以后的容量需求,需要每天、每周和每月都进行数据的收集。利用收集的数据,一方面总结当前网络应用情况提供分析数据,更有效
8、的发挥校园网对教学科研的支持。另一方面,对网络的使用情况进行度量,为网络故障诊断和作出正确决策提供了所必需的性能深入分析,并为以后网络容量的打算和网络优化提供数据基础。b、IP流量数据猎取及分析:利用Cisco交换机自装备的嵌入式mini-RMON代理,猎取差不多的网络统计数据,监控网络个端口/VLAN的详细流量分析,如链路利用率、分组大小分布、冲突、错误分布、以及每一网络端口的广播和组播通信流级不。并通过设置阈值、触发报警和向网络治理基站发送软中断等手段来监视网络中的关键条件。c、网络异常流量,如网络病毒的流量分析,定位:通过报警和事件群组启用预防性的事先治理功能。研究如何为任何关键统计数据
9、设置阈值,如设置每个交换机端口的利用率、组播级不、或故障率阈值。以及如何界定阙值的有效合理性,使阈值与在交换机内取样进行对比评估,当阈值被超过时在网络中产生通信流,作为不正常网络事件的预警。进而通知治理员一个重要事件差不多发生,而且可能需要采取进一步的措施。d、网络流的研究:通过在给定的源端点和目的地端点之间的IP单播数据报序列的研究,分析各个用户对网络的占用,以及各种网络应用对网络流量的占用。TopN用户分析,TopN应用分析后能够针对每一个用户和应用提供具有个性的安全功能、服务质量(QoS)以及通信流记帐信息等服务,实现校园网的精细化治理。FWSM模块技术指标:l吞吐量=5.5Gbps;l
10、并发连接数=一百万个l每秒建立和断开连接=10万个l并发NAT=256000个l并发PAT转换=256000个l支持巨型以太网分组(8500字节)lVLAN接口=1000个l在路由模式下,每安全环境=256个VLANl在透明模式下,每安全环境=8个VLAN对lACL=80000个l20、50、100和250个虚拟防火墙许可证l2个虚拟防火墙和1个治理环境使用后应达到技术指标:a、在不增加带宽的情况下,使得网络出口流量至少在一个月的范围内维持在80%-90%之间,各个端口网络带宽合理分配。b、通过ACL设置以及时刻段设置,使得学生用户消除不合理使用网络现象。使得网络更好的为教学、科研服务。c、使
11、得思科6513核心交换机CPU负载至少在一个月内操纵在10%以下。有效爱护内网、防范来自外网的攻击至少半年以上。(三)技术路线该项目采纳思科FWSM模块进行各种策略设计,该设备采纳了PIX技术,是一种通过强化的内嵌系统,能够消除安全漏洞,防止各种可能导致性能降低的损耗。能够利用思科FWSM来跟踪整个校园网通信的状态,以防止未授权网络接入。通过FWSM的智能应用感知型检测引擎来检查第四到七层的网络流量,进而提供强大的应用层安全性,包括IP语音(VoIP)、多媒体、即时消息和对等应用安全爱护。利用安装在CiscoCatalyst6513交换机中的思科FWSM防止未经授权的用户进入企业网络的特定子网
12、、工作组和LAN。交换机上的任意物理端口都可通过配置运行防火墙策略和进行防备,从而无需更多配置和布线即能方便地部署,并在现有网络基础设施中提供防火墙安全。思科FWSM提供的服务虚拟化,支持透明模式(第二层)和路由模式(第三层),包括网络地址转换(NAT)、访问操纵列表(ACL)、检测引擎、简单网络治理协议(SNMP)、系统日志和动态主机操纵协议(DHCP)等。利用FWSM提供的服务虚拟化实现校园网在同一物理基础设施上,为不同需求的校园网用户或职能部门,执行不同的策略。虚拟化有助于降低治理多个设备的成本和复杂度,从而在用户增加时更方便地添加或删除安全环境。该设备能够将每个6513上的每个端口、每
13、个VLAN虚拟成一个防火墙端口,如下图:利用FWSM资源治理器限制在各时刻段分配给每个安全环境的资源,以确保高可用性。以防止某些环境占用所有资源并拒绝其他环境利用这些资源。资源包括连接、本地主机、NAT、ACL、带宽、检测速率和系统日志速率。FWSM在互联网边缘使用,可通过配置,将虚拟防火墙映射到虚拟路由和转发实例,在校园网上提供全面的流量隔离和安全。FWSM以基于网络的防火墙服务为基础,还可通过智能的应用感知型检测引擎来检查第四到七层的网络流量,从而提供强大的应用层安全。为关心网络防备应用层攻击,这些检测引擎运用了广泛的应用和协议知识,并采纳了安全实施技术,包括协议异常检测、应用和协议状态跟
14、踪、双向NAT服务、双向ACL、端口地址转换(PAT)和攻击检测,以及防备技术,如应用/协议命令过滤、内容验证、模糊URL和URL过滤等。这些检测引擎可关心企业操纵即时消息、对等文件共享和隧道化应用。a、虚拟防火墙技术FWSM模块使用虚拟防火墙技术可建立多个防火墙,对有关概念的正确理解有助于快速地安装和配置防火墙。(1)虚拟防火墙在FWSM中Context(上下文)实际上确实是虚拟防火墙,每一个context就像一个独立的防火墙一样有它自己的安全策略、接口和配置选项。默认的软件许可能够建立2个context(虚拟防火墙)和1个admincontext(治理用虚拟防火墙),建立更多虚拟防火墙需要购买软件许可。(2)安全策略安全策略用于设定什么流量同意通过防火墙去访问另一个网络。FWSM在默认时不同意任何流量通过防火墙,通过设置ACL(访问操纵列表)确定什么IP地址和类型数据包能够通过接口去访问其它的网络。设定ACL的方法与思科交换机和路由器上使用方式差不多一致。(3)VLAN接口FWSM没有任何外部物理端口,它是通过背板与交换机进行数据传输。我们能够理解为每一块FWSM是通过1个5Gbps接口与交换机连接,通过使用VLAN连接到FWSM的各个虚拟接口。在一台3层交换机上VLAN可分为2层VLAN和3层VLAN。关于2层VLAN数据包只能在VLAN内进行转发,而3层VLAN
