智慧司法網絡培訓智慧司法網絡培訓

一、項目概況智慧司法內網是依托甘肅省政法網建設省司法廳內網云計算中心、省司法廳核心、市州司法局核心和縣區(qū)司法局核心，實現資源共享，快速辦公的網絡，各級單位通過現有的政法網接入設備接入政務內網，通過政務內網承載內網協(xié)同辦公、電子郵件等系統(tǒng)的應用。通過購置移動智能終端使司法系統(tǒng)內部人員實現移動便捷辦公。智慧司法外網是依托移動運營商互聯網專線建設省司法廳外網云計算中心、省司法廳核心、市州司法局核心和縣區(qū)司法局核心的網絡，相關單位通過互聯網專線接入政務外網，通過政務外網運行國家司法部相關業(yè)務系統(tǒng)，如行政審批系統(tǒng)、電子監(jiān)察系統(tǒng)、外網辦公、外網門戶網站、律師考試、司法鑒定、法制宣傳、法律援助、公證業(yè)務、社區(qū)矯正人員管理，實現跨部門、跨區(qū)域的信息資源共享。一、項目概況智慧司法內外網云平臺采用H3C的云計算解決方案，H3云計算解決方案涵蓋了網絡、云軟件、計算、存儲四大類產品。目標是為用戶在以太網和云計算相關技術基礎上，實現數據中心資源的高效利用。本次項目建設中建設兩套平臺分別承載內網辦公業(yè)務系統(tǒng)和外網辦公業(yè)務系統(tǒng)

一、項目概況二、智慧司法內外網云平臺1、內網云平臺

內網云平臺主要是承載智慧司法內網各辦公業(yè)務的系統(tǒng)。采用H3CR390、R590及浪潮8420M3系列服務器，H3CP5730系列存儲以及H3CS5820和S5800系列交換機。平臺出口使用啟明星辰防火墻，通過主備兩條1000M裸光纖接入省司法廳核心網絡。其在內部兩臺S5820和兩臺S5800之間做堆疊，使得網絡更具可用性，可擴展性和可靠性。二、智慧司法內外網云平臺2、外網云平臺外網云平臺主要是承載智慧司法外網各辦公業(yè)務的系統(tǒng)。采用H3CR390、R590、浪潮8420M3及850系列服務器，H3CP5730系列存儲以及H3CS5800系列交換機。平臺出口使用啟明星辰防火墻，通過主備兩條100M裸光纖接入移動互聯網核心。其在內部S5800和移動核心交換機之間做，使得網絡更具可靠性。三、智慧司法內網1、省司法廳內網核心政務內網依托甘肅政法網，司法廳中心機房連接一號樓、二號樓等7個節(jié)點（不同的辦公地點），由運營商提供100M光纖鏈路點對點連接，上連甘肅省政法網，形成省廳到市（州）司法局，市（州）到縣（區(qū)）司法局三級網絡。市（州）及縣（區(qū)）接入拓撲結構

S12500核心交換機作為中心網絡核心設備，通過多級交換架構，提供大容量的轉發(fā)能力，完全滿足大型數據中心的流量轉發(fā)需求，并提供、等高可靠機制保障核心網絡的穩(wěn)定可靠；結合H3C其它交換機及安全、路由設備一起組成完善的解決方案。三、智慧司法內網2、市州司法局核心市州司法局考慮建設一個經濟型的局域網，部署單核心、二層網絡，主要實現市州司法局內部網絡互連，同時需要具備一定的縣級司法網絡管理職能，因此，在方案設計時主要考慮網絡連接，兼顧網絡垂直管理功能。每個市州部署1臺核心交換機，通過政法網專線與省廳內網數據中心進行連接，同時通過千兆鏈路與接入交換機互聯，在設備上保留空余接口和槽位以便于擴展。交保障市局網絡的高可靠性，保障各業(yè)務穩(wěn)定運行，通過防火墻以及數據加密功能，提供對市局內網進行安全防護。三、智慧司法內網3、區(qū)縣司法局核心區(qū)縣司法局處于司法廳網絡系統(tǒng)的末端，數量龐大，維護難度大，在該層次部署的設備應具有零配置開局、U盤開局的功能，利用路由器連接政法網，兼容各種廣域網接口，便于部署隧道，同時提供安全功能。下掛一臺交換機，提供足夠多的接口以支持司法所及政務大廳等單位全面接入。每個區(qū)縣部署1臺全千兆接入交換機，上行通過政法網專線直接上聯至省廳網絡中心，下行通過交換機接入終端。四、智慧司法外網1、省司法廳外網核心司法廳外網依托移動運營商互聯網主干鏈路連接，省廳中心節(jié)點在統(tǒng)辦一號樓12樓機房，向下連接1#樓、2#樓等7個辦公地點，由運營商提供100M光纖線路點對點連接。通過各市（州）、縣（區(qū)）移動互聯網專線下連市（州）司法局，縣（區(qū)）司法局，有條件的鄉(xiāng)（鎮(zhèn)）司法所可以通過線路（由運營商提供城域網)通道接入政務外網。形成覆蓋全省的三（四）級政務外網網絡。四、智慧司法外網2、市州司法局外網核心市州司法局考慮建設一個經濟型的局域網，部署單核心、二層網絡，主要實現市州司法局內部網絡互連，同時需要具備一定的縣級司法局網絡管理職能，因此，在方案設計時主要考慮網絡連接，兼顧網絡垂直管理功能。每個市州部署1臺接入路由器、1臺全千兆核心交換機及部分接入交換機，通過移動互聯網鏈路與省廳外網數據中心進行訪問，同時通過千兆鏈路與接入交換機互聯，在設備上保留空余接口和槽位以便于擴展，要求路由器設備具備一定的安全防護及數據流量分析功能，以保障市局網絡的高可靠性及各業(yè)務穩(wěn)定運行；提供數據加密功能，以提供移動辦公用戶的遠程接入。四、智慧司法外網3、區(qū)縣司法局外網核心區(qū)縣司法局因網絡規(guī)模較小，因此考慮建設一個適用型局域網，部署一個單核心，二層網絡，主要用于區(qū)縣司法局外網互聯，在86個縣（區(qū)）級各配置一臺路由器、一臺交換機、一臺防火墻，結合綜合布線系統(tǒng)，組成縣（區(qū)）級的外網網絡。（同級別的勞教、監(jiān)獄也按此配置組網）。五、使用協(xié)議及劃分省內網核心及云平臺核心采用。在內網的骨干區(qū)域內，采用了動態(tài)的、基于鏈路狀態(tài)的協(xié)議。為了保證整網的性能，考慮的分域規(guī)劃，區(qū)域的劃分同政法網接入時區(qū)域劃分保持一致。1、省核心兩臺S12508做2虛擬為一臺交換機和S7606S同政法網6616路由器通過進行連接。2、云平臺核心兩臺S5820做虛擬為一臺交換機通過防火墻同省核心交換機連接。具體區(qū)域劃分如下：五、使用協(xié)議及劃分省外網核心及云平臺核心采用。在外網核心級市州、區(qū)縣對外采用地址轉換方式同運營商連接，對內采用動態(tài)分配方式為局域網劃分地址。在外網云平臺采用備份方式同運營商連接，內部各服務器及交換機之間采用固定地址分配方式。五、使用協(xié)議及劃分內網地址劃分詳見附表：司法廳地址規(guī)劃外網地址劃分，因外網同運營商是通過地址轉換的方式，所以每個節(jié)點局域網地址使用不受影響，均采用192.168，以自動獲取方式獲得。六、網絡維護及處理方法當今的網絡環(huán)境日趨復雜，主要表現在以下方面：

越來越多的應用需要因特網提供支持，包括數據、語音、視頻以及它們的集成傳輸。新業(yè)務發(fā)展使對網絡帶寬的需求不斷增長，新技術的不斷出現。例如：十兆以太網向百兆、千兆以太網的演進；技術的出現。新技術在應用的同時還要兼顧傳統(tǒng)的技術。而網絡環(huán)境越復雜，網絡故障發(fā)生的可能性越大，引發(fā)故障的原因也越發(fā)難以確定。重要的是要建立系統(tǒng)化的故障處理思想。1、故障處理思路及原則故障處理系統(tǒng)化是合理地一步一步找出故障原因，并解決故障的總體原則。其基本思想是系統(tǒng)地將故障的所有可能原因縮減或隔離成幾個小的子集，從而使問題的復雜度迅速下降，有序的故障處理思路有助于解決所遇到的困難網絡故障處理的基本步驟是：觀察現象、收集信息、判斷分析、原因排查2、一般故障分類及處理方法故障分類：連通性問題硬件、媒介、電源故障配置錯誤不正確的相互作用性能問題網絡擁塞到目的地不是最佳路由供電不足處理方法：分層法、分塊法、分段法、替換法分層故障排除法。。。。物理層數據鏈路層網絡層所有的技術都是分層的！關注電纜、連接頭、信號電平、編碼、時鐘和組幀關注封裝協(xié)議和相關參數、鏈路利用率等關注地址分配、路由協(xié)議參數等分塊故障排除法通?？紤]故障分塊如下：管理部分（路由器名稱、口令、服務、日志等）端口部分（地址、封裝、、認證等）路由協(xié)議部分（靜態(tài)路由、、、、路由引入等）策略部分（路由策略、策略路由、安全配置等）接入部分（主控制臺、登錄或啞終端、撥號等）其他應用部分（語言配置、配置、配置等）分段故障排除法可將網絡分為若干段，逐段測試，縮小故障范圍，逐段定位網絡故障，并排除。3、日常維護概述維護目的：通過日常的網絡維護，保證整個網絡位系統(tǒng)可靠運行。維護方式：突發(fā)性維護指因為設備故障、網絡調整等原因進行的維護。在網絡日常維護中，有時候因設備斷電、模塊故障、設備損壞、接口線路故障以及網絡節(jié)點接入、網絡拓撲調整等原因進行維護，在這過程中需要將維護的整個過程細節(jié)文檔化。日常例行維護指每天必須進行的維護項目。在日常維護中需要對主要接入節(jié)點進行連通性測試，它能使維護人員隨時了解網絡運行情況，以便及時解決問題。在發(fā)現問題時，詳細記錄相關故障發(fā)生的位置和現象，以便及時維護和排除隱患。周期性例行維護指定周期進行的維護。在一定的時間內，比如一季度或者半年期將設備相關配置進行保存，將目前網絡的運行情況，連接模式進行總結匯總。以便維護人員可以了解設備的長期工作情況。日常維護基本原則是：及時發(fā)現、解決問題、防患于未然日常維護中常用命令命令：用于檢查網絡連接以及主機是否可達。命令：用于探測報文在源節(jié)點到目的節(jié)點之間所經過的路線。命令：用于遠程登錄設備。命令：

網絡維護和故障處理的重要工具，主要用于查看設備中的相關信息。4、網絡故障的判斷及處理使用命令，看能否通目的地址或網關。如不能通則做如下檢查。打開“網絡連接”，看是否出現“網絡電纜被拔出”的連接，如出現著種問題，則表明網線有問題，或者服務器或交換機端口故障。檢查網卡的配置是否正確（地址、子網掩碼、網關地址）。如排查不是電腦問題，轉為排查設備和線路。局域網電腦訪問網絡故障連通性與網絡延遲的檢查使用命令或者群軟件檢查網絡設備的連接性與網絡的延遲情況。網絡設備的故障包括交換機故障、路由器故障、光纖收發(fā)器部能正常工作時的狀態(tài)。當網絡設備出現故障時，通常能從設備的指示燈上顯現出來。一些交換機和路由器，當使用命令無法登陸時，排除線路、設備故障等問題時，可以定位為設備配置問題。網絡設備的故障排查網絡設備的運行情況檢查登陸上所需查看的設備登陸路由器后查看內存的使用率是否正常登陸路由器后查看的使用率是否正常線路指設備與設備之間的線路，例如45網線或光纖等。如懷疑45網線故障，可以用測線儀檢查，或者用證明好的網線代替檢查。如果是光纖，可以看連接光纖設備的指示燈，如出現故障，應該聯系當地電信運營商，協(xié)調檢查。線路故障排查網絡設備的鄰居關系檢查通過檢查互聯的網絡設備的路由鄰居關系，可以判斷他們的協(xié)議以及協(xié)議是否正常。具體命令如下：

正常的鄰居關系應該處于狀態(tài)。

正常的鄰居關系應該處于狀態(tài)。狀態(tài)表示鄰居關系正常狀態(tài)表示鄰居關系正常當我們經過一系列排查后列出可能的原因，然后根據所列出的可能原因制定相應的故障排除計劃，分析最有可能的原因。當針對某一原因執(zhí)行了排錯方案后，需要對結果進行分析，判斷問題是否解決，是否引入新的問題，如果問題解決，可以直接進入文檔化過程，如果沒有解決問題，需要再次盡心故障排查過程。排除故障過程中，如果確認為協(xié)議、環(huán)路、等邏輯問題，需遠程解決，如果解決不了，可尋求技術支持。排除故障過程中，如果確認為本地設備、硬件或者線纜問題，需要聯系當地負責人配合排除故障。排除故障過程中，如果確認為主干線路，或者主干線纜問題，需要聯系電信線路負責人，予以解決。1、網絡設備地址沖突故障現象：某縣局域網上網時斷時通。組網結構:現象觀察：是整個局域網時斷時通還是部分網段時斷時通？是有規(guī)律的通斷還是無規(guī)律的通斷？通過與用戶進一步交流，對故障現象描述為：縣局局域網整個網段上網有規(guī)律的時斷時通。信息收集：網絡結構或配置是否做過修改帶網關地址觀察現象等命令查看日記記錄，告警信息打開信息后，提示有和網關地址沖突的告警信息?？赡茉颍汗?，地址重復排查步驟：1，針對攻擊，用命令查看設備表有無異常，結果為多了網關項，其他正常，排除攻擊。2，針對地址重復，使用命令確認網關地址及對應端口。3、找到端口后跟用戶聯系確認為下連設備配置同網關相同的管理地址，斷開后網絡正常故障處理過程文檔化。2、局域網防范工作機制協(xié)議是以太網等數據鏈路層的基礎協(xié)議，負責完成地址到硬件地址的映射。

工作過程簡述如下：

(1)當主機或者網絡設備需要解析一個地址對應的地址時，會廣播發(fā)送請求報文。

(2)主機或者網絡設備接收到請求后，會進行應答。同時，根據請求發(fā)送者的地址和地址的對應關系建立表項。

(3)發(fā)起請求的主機或者網絡設備接收到應答后，同樣會將應答報文中發(fā)送者的地址和地址的映射關系記錄下來，生成表項。攻擊類型攻擊是一種非常惡劣的網絡攻擊行為：

會造成網絡不穩(wěn)定，引發(fā)用戶無法上網或者企業(yè)斷網導致重大生產事故。

利用攻擊可進一步實施攻擊，非法獲取游戲、網銀、文件服務等系統(tǒng)的

帳號和口令，使被攻擊者造成利益上的重大損失。從工作機制可以看出，協(xié)議簡單易用，但是卻沒有任何安全機制，攻擊者可以發(fā)送偽造報文對網絡進行攻擊。偽造報文具有如下特點：

偽造的報文中源地址/目的地址和以太網幀封裝中的源地址/目的地址不一致。

偽造的報文中源地址和源地址的映射關系不是合法用戶真實的映射關系。

目前主要的攻擊方式有如下幾類：

仿冒網關攻擊

仿冒用戶攻擊（欺騙網關或者其他主機）

泛洪攻擊

仿冒網關攻擊如圖所示，因為主機A仿冒網關向主機B發(fā)送了偽造的網關報文，導致主機B的表中記錄了錯誤的網關地址映射關系，從而正常的數據不能被網關接收。仿冒網關攻擊是一種比較常見的攻擊方式，如果攻擊源發(fā)送的是廣播報文，或者根據其自身所掌握的局域網內主機的信息依次地發(fā)送攻擊報文，就可能會導致整個局域網通信的中斷，是攻擊中影響較為嚴重的一種。仿冒用戶攻擊欺騙其他用戶如圖所示，主機A仿冒主機B向主機C發(fā)送了偽造的報文，導致主機C的表中記錄了錯誤的主機B地址映射關系，從而正常的數據報文不能正確地被主機B接收。

泛洪攻擊網絡設備在處理報文時需要占用系統(tǒng)資源，同時因為系統(tǒng)內存和查找表效率的要求，一般網絡設備會限制表的大小。攻擊者就利用這一點，通過偽造大量源地址變化的報文，使設備表溢出，合法用戶的報文不能生成有效的表項，導致正常通信中斷。

另外，通過向設備發(fā)送大量目標地址不能解析的報文，使設備反復地對目標地址進行解析，導致負荷過重，也是泛洪攻擊的一種。

攻擊防范攻擊源一般來自于主機側，因此接入交換機在攻擊防范中是一個關鍵的控制點。針對攻擊的特點，接入交換機上的防范主要從兩個方面考慮：

建立正確的映射關系、檢測并過濾偽造的報文，保證經過其轉發(fā)的報文正確合法。

抑制短時間內大量報文的沖擊。

由于防范措施部署在接入側，因此無需在網關上部署，可以減輕網關負擔。

如果接入交換機上不支持攻擊防范功能，或者主機直接接入網關，則需要在網關上部署防范措施，部署思路從兩個方面考慮：

建立正確的表項，防止攻擊者修改。

抑制短時間內大量報文或者需觸發(fā)解析的報文的沖擊。

直接在網關上進行部署對接入交換機的依賴較小，可以較好的支持現有網絡，有效地保護用戶投資。

訪問控制.單純依靠或來建立信任關系是不安全