計算機網絡系統在深圳大運中心的應用

伍建國

(深圳市建筑工務署，廣東 深圳 518000)

計算機網絡系統在深圳大運中心的應用

伍建國

(深圳市建筑工務署，廣東 深圳 518000)

1 概述

深圳大運會體育中心場館計算機網絡系統包含大運會體育場、體育館和游泳館內的公網、控制網、監控網及廣播網4套網絡。其中公網、控制網采用“核心+匯聚+接入”的三層星型冗余拓撲結構，每套網絡分別設置2臺核心交換機于體育場內，雙機熱備。在體育場網絡中心設置2臺匯聚層交換機與核心交換機連接，同時大運中心體育館、游泳館匯聚交換機通過光纖鏈路統一接入體育場核心交換機內。監控網根據建設需要采用二(三)層架構，在各場館監控中心進行匯聚，統一接入體育場核心交換機。體育場廣播網獨立建設，采用二層結構設計，核心交換機和接入交換機采用多模光纖進行互聯。

2 需求分析

計算機網絡系統是智能建筑的神經中樞，深圳大運會體育中心場館計算機網絡系統要求在綜合布線系統的基礎上，以網絡中心為核心，以IP和Intranet技術為技術主體，在深圳大運會體育中心構建高寬帶、可冗余、可路由、IP交換、可備份、安全可靠的計算機寬帶網絡，保證深圳大運會體育中心內各種基于網絡平臺的應用系統正常運行以及高速訪問互聯網，保證與大運會信息中心的可靠連接。

深圳大運會體育中心現由體育館、體育場和游泳館組成。在設計和確定網絡的總體性能及拓撲結構時，既要考慮網絡建設的基本理論和原則，又要考慮深圳大運會體育中心的實際情況、應用需求、資金條件和近、遠期目標，使得所實現的網絡既能高效、經濟地滿足用戶近期的應用需求，又能滿足網絡未來擴展的需要。

3 系統設計

大運中心體育場館計算機網絡系統建設和各項業務使用過程中需滿足全方位的數據共享，設計采用三層交換，提供全面的QoS保障服務，使網絡安全可靠，從而實現管理、多媒體數字監控及辦公自動化，提供可增值、可管理的業務，必須具備高性能、高安全性、高可靠性；可管理、可增值特性；開放性、兼容性、可擴展性。下面以大運中心公共網絡設計為例，介紹網絡系統的詳細設計。

深圳大運會體育中心體育場公共網絡系統采用三層結構設計，同時通過無線、安全、網絡管理等多種業務模塊實現場館公共網絡數據交換業務和互聯網訪問服務要求，大運會中心體育場公共網絡系統如圖1所示，采用雙核心雙匯聚保證公網的穩定。

1)核心交換機設計

圖1 大運會中心體育場公共網絡系統圖

深圳大運會體育中心體育場公共網絡系統采用萬兆核心多業務路由交換機，每臺核心配置電源冗余及單主控板，保證單臺設備的電信級可靠性要求，兩臺核心交換機通過雙機的方式實現負載分擔與熱備份功能，核心交換機配置高密度千兆接口模塊滿足本地服務器接入要求，通過配置防火墻插卡模塊實現各業務區域的隔離與攻擊防御功能。大運會體育中心“一場兩館”的匯聚交換機通過雙千兆光纖分別與核心交換機互聯。

2)匯聚交換機設計

匯聚交換機采用高端多業務路由交換機，每臺交換機均配置電源冗余及單主控板，保證單臺設備的電信級可靠性要求，兩臺交換機實現雙機備份功能。7502E配置高密度千兆接口模塊滿足本地服務器接入要求，兩臺交換機分別通過兩條千兆光纖鏈路與體育中心核心交換機進行互聯，同時通過千兆多模光纖與接入層交換機互聯，形成高可靠性、高性能匯聚中心。

3)接入交換機設計

接入交換機采用全千兆智能交換機，交換機具有24/48口多種類型，同時具有POE遠程供電功能，根據大運會體育場終端設計部署在體育場各弱電配線間內,多臺接入交換機通過千兆堆疊線纜進行堆疊后通過兩條千兆鏈路分別與體育場公網匯聚交換機進行互聯。

根據實際需求采用8臺24口以太網交換機主機，3臺24口POE以太網交換機主機，15臺4口以太網交換機主機，11臺48口POE以太網交換機主機。

4)無線部署設計

根據深圳大運會體育場無線需求，滿足記者席、新聞發布中心、廣播中心、VIP房等功能模塊無線數據應用，在體育場匯聚層部署2臺無線控制器，場館前端根據實際設計功能要求部署無線路由器形成有線無線一體化的瘦AP解決方案。體育場接入層交換機通過POE功能對無線控制器、無線AP進行遠程供電，降低了整體無線部署施工難度。

5)網絡出口設計

大運會體育場公共網絡系統需滿足公共網絡數據交換業務和互聯網訪問服務功能，同時須對網絡訪問應用進行篩選、控制與審計。滿足大運會體育場館公共網絡系統的正常使用。網絡出口部署一臺高性能多核路由器作為大運會體育中心公共網絡出口網關，通過對多個互聯網出口的接入完成大運會體育場館互聯網訪問數據轉發要求。同時通過部署一臺審計網關對出口流量及功能性應用進行識別與控制，通過統一管理中心的管理應用控制與審計管理系統對出口流量進行審計與管理。

6)網絡管理設計

深圳大運會體育中心體育場公共網絡系統涉及核心交換機、匯聚交換機、接入交換機、防火墻、無線控制器及無線AP等設備，設備分布于體育場的各個區域，給設備的管理與狀態監控帶來了很大的困難。大運會體育中心體育場網絡管理及安全管理中心通過智能網管軟件，使用一套管理系統完成對設備、用戶和業務的統一管理，真正實現了多功能一體化管理要求。

4 系統功能介紹

4.1 網絡系統基本功能

1)VLAN功能

VLAN(Virtual Local Area Network)即虛擬局域網，是一種通過將局域網內的設備邏輯地而不是物理地劃分成一個個網段，從而實現虛擬工作組的技術。VLAN技術允許網絡管理者將一個物理的LAN邏輯地劃分成不同的廣播域(或稱虛擬LAN，即VLAN)，每一個VLAN都包含一組有著相同需求的計算機工作站，與物理上形成的LAN有著相同的屬性。但由于是邏輯地而不是物理地劃分，所以同一個VLAN內的各個工作站無須被放置在同一個物理空間里，即這些工作站不一定屬于同一個物理LAN網段。一個VLAN內部的廣播和單播流量都不會轉發到其他VLAN中，從而有助于控制流量、減少設備投資、簡化網絡管理、提高網絡的安全性。VLAN是為解決以太網的廣播問題和安全性而提出的一種協議，它在以太網幀的基礎上增加了VLAN頭，用VLAN ID把用戶劃分為更小的工作組，限制不同工作組間的用戶二層互訪，每個工作組就是一個虛擬局域網。虛擬局域網的好處是可以限制廣播范圍，并能夠形成虛擬工作組，動態管理網絡。

以太網交換機支持的VLAN劃分技術：基于端口的VLAN；基于協議的VLAN；Voice VLAN技術；VLAN VPN(QinQ)，靈活QinQ等。

2)QoS功能

QoS對網絡的應用是非常重要的，考慮到未來要增加多種的業務，如：流媒體點播、視頻點播等，這要求全網能夠提供強大的QoS功能，此次設計采用的產品可以為用戶提供豐富的QoS保證，支持QoS技術中的PQ/CQ/WFQ/LLQ/CBWFQ等轉發隊列優先保證機制，所攜帶的IP地址段、TOS值、源端口號等均可實現業務的保證，同時可以針對不同的接入層交換機端口或不同業務進行端口的限速，以提高全網的QoS業務的保證。同時利用核心及匯聚層設備可實現基于業務類型的流領控制功能，如：基于端口、IP、VLAN等帶寬管理以及優先權的分配，可實現帶寬管理最小粒度為8kbps。

3)廣播風暴的抑止

各級網絡交換機均可以實現基于端口的廣播風暴抑止功能，可支持同一VLAN內的風暴抑止功能，可以有效地抑止局域網內部的廣播風暴，確保網絡的安全穩定。

4)組播業務

路由交換機通過標準的組播協議完成用戶的組播管理，可以支持豐富的組播協議，包括ICMP、PIM-SM、PIM-DM、MSDP等；可支持豐富的業務，包括視頻點播、流媒體點播；可支持各種流媒體終端以及組播源的種類；可以通過HGMP協議將各樓道交換機納入到組播中。由匯聚交換機完成對其下掛的接入交換機的組播用戶的報文復制和發送。通過這種機制，使得整個網絡的流量做到最優，有效地保證了視頻點播、網絡電視、會議電視、視頻游戲等視頻業務的開展和通過組播實現的視頻業務。

5)IPv6支持

對于IPv6流媒體的訪問同樣可以采用IPv6組播協議進行IPv6業務的開展，通過核心、匯聚IPv6協議的支持，可以在全網開展IPv6業務，確保IPv6組播業務能夠很好的開展，便于IPv6業務的豐富和發展。

4.2 安全防御功能

網絡安全設計包括兩方面的內容：核心設備自身的安全機制和網絡安全設備的使用。

網絡級安全是指在物理層、鏈路層和網絡層采取各種安全措施來保障深圳大運會體育中心網絡的安全；應用級安全是指采用應用層安全產品和利用應用系統自身專有的安全機制，在應用層保證對深圳大運會體育中心網絡各種應用系統的信息訪問合法性；系統級安全主要是通過對操作系統(UNIX、NT)的安全設置和掃描檢測，防止不法分子利用操作系統的安全漏洞對深圳大運會體育中心網絡構成安全威脅；企業級安全主要是從建設內部安全管理、審計和計算機病毒防范三方面來保障網絡的安全。

1)核心交換機必須具備高安全性

核心路由交換機自身必須具備較高的安全性支持，體現在如下幾個方面：采用“最長匹配、逐包轉發”模式，天然抵御“紅代碼”等網絡病毒；支持OSPF、RIPv2及BGPv4報文的明文及MD5密文認證；支持安全的SNMPv3網管協議；支持配置安全，對登錄用戶進行認證，為不同級別的用戶分配不同的配置權限；支持IP地址、VLAN ID、MAC地址和端口等多種組合綁定方式，防范各種地址盜用；支持廣播報文抑制，有效控制ARP等非法廣播流量對設備造成沖擊；支持URPF(單播反向路徑檢查)，防止IP地址欺騙；支持受限的IP地址的Telnet登錄和口令機制；支持報文安全過濾，防止非法侵入和惡意報文攻擊；支持端口鏡像，將有安全隱患的報文鏡像到分析端口，利用儀器設備進行抓包分析并及時阻斷；支持IEEE 802.1x、AAA/Radius、TACACS+，對用戶身份進行合法性認證；支持內置Firewall、IPS等模塊，有效保障網絡安全，為用戶構建立體安全網絡。

2)高性能防火墻保障網絡層安全

防火墻是網絡系統的核心基礎防護措施，可以對整個網絡進行網絡區域分割，提供基于IP地址和TCP/IP服務端口等的訪問控制；對常見的網絡攻擊方式，如拒絕服務攻擊(ping of death、land、syn flooding、ping flooding、tear drop…)、端口掃描(port scanning)、IP欺騙(ip spoofing)、IP盜用等進行有效防護；提供NAT地址轉換、流量限制、用戶認證、IP與MAC綁定等安全增強措施。

本方案中部署高性能萬兆防火墻，防火墻采用專業的軟硬件系統，具有高可靠、高穩定和安全功能豐富等特點。為抵御全面的安全威脅，防火墻提供先進的基于狀態的過濾技術，具備各種攻擊的防范、安全區域隔離、遠程安全接入(VPN)和地址轉換(NAT)等功能，具有強大的安全防護能力。

通過部署防火墻，可以實現外部攻擊防范、內網安全控制、遠程安全接入、郵件和網頁過濾、流量監控、P2P控制等功能，并且提供核心部件冗余設計、基于鏈路和基于狀態的冗余，從而保障整個網絡系統的穩定運行。

4.3 無線功能

1)無線網絡方案

本方案主要采用先進的FIT AP方案進行組網，利用無線控制器配合前端無線AP有線無線一體化的瘦AP解決方案,AP與無線控制器之間通過二層隧道協議通信，無線控制器作為中央控制管理器可從網絡任何位置接入，本次設計從所有AP連接到接入層的交換機上，然后通過光纖連接到體育場匯聚交換機上，所有數據通過AP打隧道到無線控制器再解隧道送返有線網絡，這種工作機制一定程度上保證了無線數據的加密安全傳輸，同時無線控制器處于中央控制地位，可實現更豐富的業務功能。

2)無線認證方式選擇

在認證點選擇方面，設計采用的是FIT AP+無線控制器進行組網的方案，AP與無線控制器通過二層隧道協議通信，無線用戶的認證點都放置在無線控制器設備上。這樣組網的優勢是：當用戶在不同AP之間進行L2、L3漫游切換時，可由無線控制器對用戶的漫游切換進行管理控制，用戶可以在無需重新認證的情況下跨區域開展業務。

4.4 出口應用控制功能

1)UAG流量精細化管理解決方案

目前的流量管理模式是基于帶寬的粗獷式管理，帶寬管理者對網絡上業務流量的類型及使用情況等知之甚少，無法實現流量的完全監控和管理。應用控制網關設備是面向運營商、大中型企業、教育系統開發的專業應用控制網關設備，提供高性能2～7層的深度報文檢測、流量統計以及基于用戶和應用的帶寬控制能力。為用戶提供精細化流量管理解決方案。

2)深度應用識別

UAG深度應用識別技術的核心是基于“并行流過濾引擎”、“DPI”軟件平臺的UAAE應用控制感知引擎。它和深度檢測引擎配合，智能高效識別網絡中的各種應用協議及其行為。應用識別引擎(UAAE)，為了解決復雜的應用識別需求，深入發掘應用的內容特征行為(尤其是攻擊行為)，采用了一系列的自主研發技術。整體架構如圖2所示。

圖2 深度應用識別整體架構圖

(1)UAAE引擎對種類繁多的應用協議進行模型化，分類進行識別，同時在模型化識別的基礎上進行智能決策。

(2)為了在應用中識別攻擊等特征行為，對重要的應用協議進行數據解析，UAAE結合應用對數據進行分類深度檢測，同時對深度檢測結果再次結合應用環境進行分析；UAAE可以對應用的數據特征進行有狀態的跟蹤，而不僅僅依據單個數據報文特征做出判決。

(3)UAAE內置提供統一的定義語言，擁有可擴展、可升級的應用識別和行為識別能力。

3)Skype協議識別技術

Skype作為第四代P2P的杰出代表，除了具備第三代P2P應用的集中和分布式網絡體系結構外，還采用了動態選擇端口方法、多協議并用方式進行連接，從而達到健全Skype通訊網絡的目的。

UAG P2P應用識別技術在深入理解P2P協議模型的基礎上，針對Skype協議進行逆向工程深度分析和跟蹤調試，獨創性地建立了針對P2P協議識別的通用模型。該模型針對通訊數據綜合進行特征匹配(其特征可以是固定的特征、雙方的交互行為特征、流量統計特征)、標識連接、發現節點，并根據與該節點的行為交互從而識別更多的連接，由于是基于節點以及基于統計規律來識別Skype協議，在保證性能的同時也提高了協議識別的準確性。

4)P2P/IM類應用識別技術

P2P類應用的特點是單個IP的連接數較多，每個連接的端口號不固定，每個連接數據包的包長且速率較大，UAG在深入理解P2P協議模型基礎上，建立了針對P2P協議識別的通用模型。

5)流量控制

傳統帶寬管理模型都以一個接口上的轉發流量為核心，即對進入同一個接口的流量按照不同的流量等級分配不同的帶寬，對接口帶寬采用的是一種扁平化的帶寬管理方法。

利用被廣泛采用的數據包深層掃描(DPI)技術，能夠檢測出報文所屬的L7應用協議以及L7內容特征，但是基于TCP或UDP的應用層協議繁多，應用協議經過整理后，可以達到成百上千種，用戶如果仍然基于應用層協議對流量進行管理，是非常困難的。

UAG帶寬控制技術是面向IT服務的流量管理，實現了網絡與系統的高效管理，使管理更加靈活、可用性更高。能夠基于不同的分段、不同的用戶以及IT服務等應用不同的帶寬策略，達到細分流量管理的目的。

6)共享接入管理

UAG共享接入管理可以準確檢測出共享上網用戶以及在線共享主機數目。UAG產品采用ID軌跡檢測技術和時鐘偏移檢測技術，結合多種應用層特征檢測技術(如應用特征檢測、流量/連接數統計、TTL檢測、MAC地址檢測等)，用以監測以NAT、Proxy等多種方式進行共享接入的用戶以及準確的PC數量。其中ID軌跡檢測是基于IP報文的ID域值檢測，一個操作系統的網絡協議棧的ID初始值是隨機產生的，每發送一個IP報文，其ID值增1。該方法可以較準確地判斷出是否為共享上網用戶以及在線共享的主機數量。

7)用戶行為審計

目前網絡應用行為日益頻繁，學校和企業網絡中內部安全和內部控制的重要性日益突出，員工通過網絡泄漏重要數據、學生或員工在網上傳播非法言論造成社會惡劣影響等事件時有發生。及時記錄內部人員的上網行為，從而做到事后有據可查成為目前校園網和企業網迫切需要解決的問題。

UAG用戶行為審計功能可以對用戶的上網行為進行全面記錄，為取證提供完備的依據。UAG用戶行為審計功能包括用戶HTTP訪問行為記錄，用戶電子郵件行為記錄以及FTP上傳下載行為審計。通過對URL的全記錄，完全掌握用戶上網行為，定位用戶訪問網頁或查看的文件；通過對用戶電子郵件內重要信息以及FTP上傳下載文件名等信息的審計，完成數據流動的完全監控。

5 結束語

深圳大運會體育中心計算機網絡系統自2011年3月投入運營以來，系統穩定可靠，其作為智能建筑的神經中樞，在2011年8月召開的第23屆世界大學生運動會中起到了非常重要的作用。

[1] 曹秀英.無線局域網安全系統[M].北京：電子工業出版社，2004.

[2] 劉乃安.無線局域網(WLAN)——原理、技術與應用[M].北京：人民教育出版社，2004.

[3] 深圳市工務署.大運中心智能化系統技術需求書[Z].

The Application of Computer Network System of Shenzhen Universiade Sports Center

Wu Jianguo

深圳大運會體育中心場館計算機網絡系統包含大運會體育場、體育館、游泳館內的公網、控制網、監控網和廣播網4套網絡,介紹了3個場館4套網絡的結構、功能及配置。

公網 控制網 監控網 廣播網 核心交換機 匯聚交換機 接入交換機 無線設計

The computer network system of Shenzhen universiade sports center stadium is consisted of public network, control network, monitoring network and broadcasting network in the scope of stadium, gymnasium and swimming pool. This paper introduces the structure, function and configuration of the four sets of networks.

public network, control network, monitor network, radio network, core switches, aggregation switches, access switches, wireless design