伍建国

(深圳市建筑工务署，广东 深圳 518000)

计算机网络系统在深圳大运中心的应用

伍建国

(深圳市建筑工务署，广东 深圳 518000)

1 概述

深圳大运会体育中心场馆计算机网络系统包含大运会体育场、体育馆和游泳馆内的公网、控制网、监控网及广播网4套网络。其中公网、控制网采用“核心+汇聚+接入”的三层星型冗余拓扑结构，每套网络分别设置2台核心交换机于体育场内，双机热备。在体育场网络中心设置2台汇聚层交换机与核心交换机连接，同时大运中心体育馆、游泳馆汇聚交换机通过光纤链路统一接入体育场核心交换机内。监控网根据建设需要采用二(三)层架构，在各场馆监控中心进行汇聚，统一接入体育场核心交换机。体育场广播网独立建设，采用二层结构设计，核心交换机和接入交换机采用多模光纤进行互联。

2 需求分析

计算机网络系统是智能建筑的神经中枢，深圳大运会体育中心场馆计算机网络系统要求在综合布线系统的基础上，以网络中心为核心，以IP和Intranet技术为技术主体，在深圳大运会体育中心构建高宽带、可冗余、可路由、IP交换、可备份、安全可靠的计算机宽带网络，保证深圳大运会体育中心内各种基于网络平台的应用系统正常运行以及高速访问互联网，保证与大运会信息中心的可靠连接。

深圳大运会体育中心现由体育馆、体育场和游泳馆组成。在设计和确定网络的总体性能及拓扑结构时，既要考虑网络建设的基本理论和原则，又要考虑深圳大运会体育中心的实际情况、应用需求、资金条件和近、远期目标，使得所实现的网络既能高效、经济地满足用户近期的应用需求，又能满足网络未来扩展的需要。

3 系统设计

大运中心体育场馆计算机网络系统建设和各项业务使用过程中需满足全方位的数据共享，设计采用三层交换，提供全面的QoS保障服务，使网络安全可靠，从而实现管理、多媒体数字监控及办公自动化，提供可增值、可管理的业务，必须具备高性能、高安全性、高可靠性；可管理、可增值特性；开放性、兼容性、可扩展性。下面以大运中心公共网络设计为例，介绍网络系统的详细设计。

深圳大运会体育中心体育场公共网络系统采用三层结构设计，同时通过无线、安全、网络管理等多种业务模块实现场馆公共网络数据交换业务和互联网访问服务要求，大运会中心体育场公共网络系统如图1所示，采用双核心双汇聚保证公网的稳定。

1)核心交换机设计

图1 大运会中心体育场公共网络系统图

深圳大运会体育中心体育场公共网络系统采用万兆核心多业务路由交换机，每台核心配置电源冗余及单主控板，保证单台设备的电信级可靠性要求，两台核心交换机通过双机的方式实现负载分担与热备份功能，核心交换机配置高密度千兆接口模块满足本地服务器接入要求，通过配置防火墙插卡模块实现各业务区域的隔离与攻击防御功能。大运会体育中心“一场两馆”的汇聚交换机通过双千兆光纤分别与核心交换机互联。

2)汇聚交换机设计

汇聚交换机采用高端多业务路由交换机，每台交换机均配置电源冗余及单主控板，保证单台设备的电信级可靠性要求，两台交换机实现双机备份功能。7502E配置高密度千兆接口模块满足本地服务器接入要求，两台交换机分别通过两条千兆光纤链路与体育中心核心交换机进行互联，同时通过千兆多模光纤与接入层交换机互联，形成高可靠性、高性能汇聚中心。

3)接入交换机设计

接入交换机采用全千兆智能交换机，交换机具有24/48口多种类型，同时具有POE远程供电功能，根据大运会体育场终端设计部署在体育场各弱电配线间内,多台接入交换机通过千兆堆叠线缆进行堆叠后通过两条千兆链路分别与体育场公网汇聚交换机进行互联。

根据实际需求采用8台24口以太网交换机主机，3台24口POE以太网交换机主机，15台4口以太网交换机主机，11台48口POE以太网交换机主机。

4)无线部署设计

根据深圳大运会体育场无线需求，满足记者席、新闻发布中心、广播中心、VIP房等功能模块无线数据应用，在体育场汇聚层部署2台无线控制器，场馆前端根据实际设计功能要求部署无线路由器形成有线无线一体化的瘦AP解决方案。体育场接入层交换机通过POE功能对无线控制器、无线AP进行远程供电，降低了整体无线部署施工难度。

5)网络出口设计

大运会体育场公共网络系统需满足公共网络数据交换业务和互联网访问服务功能，同时须对网络访问应用进行筛选、控制与审计。满足大运会体育场馆公共网络系统的正常使用。网络出口部署一台高性能多核路由器作为大运会体育中心公共网络出口网关，通过对多个互联网出口的接入完成大运会体育场馆互联网访问数据转发要求。同时通过部署一台审计网关对出口流量及功能性应用进行识别与控制，通过统一管理中心的管理应用控制与审计管理系统对出口流量进行审计与管理。

6)网络管理设计

深圳大运会体育中心体育场公共网络系统涉及核心交换机、汇聚交换机、接入交换机、防火墙、无线控制器及无线AP等设备，设备分布于体育场的各个区域，给设备的管理与状态监控带来了很大的困难。大运会体育中心体育场网络管理及安全管理中心通过智能网管软件，使用一套管理系统完成对设备、用户和业务的统一管理，真正实现了多功能一体化管理要求。

4 系统功能介绍

4.1 网络系统基本功能

1)VLAN功能

VLAN(Virtual Local Area Network)即虚拟局域网，是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段，从而实现虚拟工作组的技术。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN，即VLAN)，每一个VLAN都包含一组有着相同需求的计算机工作站，与物理上形成的LAN有着相同的属性。但由于是逻辑地而不是物理地划分，所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里，即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中，从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的一种协议，它在以太网帧的基础上增加了VLAN头，用VLAN ID把用户划分为更小的工作组，限制不同工作组间的用户二层互访，每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围，并能够形成虚拟工作组，动态管理网络。

以太网交换机支持的VLAN划分技术：基于端口的VLAN；基于协议的VLAN；Voice VLAN技术；VLAN VPN(QinQ)，灵活QinQ等。

2)QoS功能

QoS对网络的应用是非常重要的，考虑到未来要增加多种的业务，如：流媒体点播、视频点播等，这要求全网能够提供强大的QoS功能，此次设计采用的产品可以为用户提供丰富的QoS保证，支持QoS技术中的PQ/CQ/WFQ/LLQ/CBWFQ等转发队列优先保证机制，所携带的IP地址段、TOS值、源端口号等均可实现业务的保证，同时可以针对不同的接入层交换机端口或不同业务进行端口的限速，以提高全网的QoS业务的保证。同时利用核心及汇聚层设备可实现基于业务类型的流领控制功能，如：基于端口、IP、VLAN等带宽管理以及优先权的分配，可实现带宽管理最小粒度为8kbps。

3)广播风暴的抑止

各级网络交换机均可以实现基于端口的广播风暴抑止功能，可支持同一VLAN内的风暴抑止功能，可以有效地抑止局域网内部的广播风暴，确保网络的安全稳定。

4)组播业务

路由交换机通过标准的组播协议完成用户的组播管理，可以支持丰富的组播协议，包括ICMP、PIM-SM、PIM-DM、MSDP等；可支持丰富的业务，包括视频点播、流媒体点播；可支持各种流媒体终端以及组播源的种类；可以通过HGMP协议将各楼道交换机纳入到组播中。由汇聚交换机完成对其下挂的接入交换机的组播用户的报文复制和发送。通过这种机制，使得整个网络的流量做到最优，有效地保证了视频点播、网络电视、会议电视、视频游戏等视频业务的开展和通过组播实现的视频业务。

5)IPv6支持

对于IPv6流媒体的访问同样可以采用IPv6组播协议进行IPv6业务的开展，通过核心、汇聚IPv6协议的支持，可以在全网开展IPv6业务，确保IPv6组播业务能够很好的开展，便于IPv6业务的丰富和发展。

4.2 安全防御功能

网络安全设计包括两方面的内容：核心设备自身的安全机制和网络安全设备的使用。

网络级安全是指在物理层、链路层和网络层采取各种安全措施来保障深圳大运会体育中心网络的安全；应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制，在应用层保证对深圳大运会体育中心网络各种应用系统的信息访问合法性；系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和扫描检测，防止不法分子利用操作系统的安全漏洞对深圳大运会体育中心网络构成安全威胁；企业级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障网络的安全。

1)核心交换机必须具备高安全性

核心路由交换机自身必须具备较高的安全性支持，体现在如下几个方面：采用“最长匹配、逐包转发”模式，天然抵御“红代码”等网络病毒；支持OSPF、RIPv2及BGPv4报文的明文及MD5密文认证；支持安全的SNMPv3网管协议；支持配置安全，对登录用户进行认证，为不同级别的用户分配不同的配置权限；支持IP地址、VLAN ID、MAC地址和端口等多种组合绑定方式，防范各种地址盗用；支持广播报文抑制，有效控制ARP等非法广播流量对设备造成冲击；支持URPF(单播反向路径检查)，防止IP地址欺骗；支持受限的IP地址的Telnet登录和口令机制；支持报文安全过滤，防止非法侵入和恶意报文攻击；支持端口镜像，将有安全隐患的报文镜像到分析端口，利用仪器设备进行抓包分析并及时阻断；支持IEEE 802.1x、AAA/Radius、TACACS+，对用户身份进行合法性认证；支持内置Firewall、IPS等模块，有效保障网络安全，为用户构建立体安全网络。

2)高性能防火墙保障网络层安全

防火墙是网络系统的核心基础防护措施，可以对整个网络进行网络区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击方式，如拒绝服务攻击(ping of death、land、syn flooding、ping flooding、tear drop…)、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护；提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。

本方案中部署高性能万兆防火墙，防火墙采用专业的软硬件系统，具有高可靠、高稳定和安全功能丰富等特点。为抵御全面的安全威胁，防火墙提供先进的基于状态的过滤技术，具备各种攻击的防范、安全区域隔离、远程安全接入(VPN)和地址转换(NAT)等功能，具有强大的安全防护能力。

通过部署防火墙，可以实现外部攻击防范、内网安全控制、远程安全接入、邮件和网页过滤、流量监控、P2P控制等功能，并且提供核心部件冗余设计、基于链路和基于状态的冗余，从而保障整个网络系统的稳定运行。

4.3 无线功能

1)无线网络方案

本方案主要采用先进的FIT AP方案进行组网，利用无线控制器配合前端无线AP有线无线一体化的瘦AP解决方案,AP与无线控制器之间通过二层隧道协议通信，无线控制器作为中央控制管理器可从网络任何位置接入，本次设计从所有AP连接到接入层的交换机上，然后通过光纤连接到体育场汇聚交换机上，所有数据通过AP打隧道到无线控制器再解隧道送返有线网络，这种工作机制一定程度上保证了无线数据的加密安全传输，同时无线控制器处于中央控制地位，可实现更丰富的业务功能。

2)无线认证方式选择

在认证点选择方面，设计采用的是FIT AP+无线控制器进行组网的方案，AP与无线控制器通过二层隧道协议通信，无线用户的认证点都放置在无线控制器设备上。这样组网的优势是：当用户在不同AP之间进行L2、L3漫游切换时，可由无线控制器对用户的漫游切换进行管理控制，用户可以在无需重新认证的情况下跨区域开展业务。

4.4 出口应用控制功能

1)UAG流量精细化管理解决方案

目前的流量管理模式是基于带宽的粗犷式管理，带宽管理者对网络上业务流量的类型及使用情况等知之甚少，无法实现流量的完全监控和管理。应用控制网关设备是面向运营商、大中型企业、教育系统开发的专业应用控制网关设备，提供高性能2～7层的深度报文检测、流量统计以及基于用户和应用的带宽控制能力。为用户提供精细化流量管理解决方案。

2)深度应用识别

UAG深度应用识别技术的核心是基于“并行流过滤引擎”、“DPI”软件平台的UAAE应用控制感知引擎。它和深度检测引擎配合，智能高效识别网络中的各种应用协议及其行为。应用识别引擎(UAAE)，为了解决复杂的应用识别需求，深入发掘应用的内容特征行为(尤其是攻击行为)，采用了一系列的自主研发技术。整体架构如图2所示。

图2 深度应用识别整体架构图

(1)UAAE引擎对种类繁多的应用协议进行模型化，分类进行识别，同时在模型化识别的基础上进行智能决策。

(2)为了在应用中识别攻击等特征行为，对重要的应用协议进行数据解析，UAAE结合应用对数据进行分类深度检测，同时对深度检测结果再次结合应用环境进行分析；UAAE可以对应用的数据特征进行有状态的跟踪，而不仅仅依据单个数据报文特征做出判决。

(3)UAAE内置提供统一的定义语言，拥有可扩展、可升级的应用识别和行为识别能力。

3)Skype协议识别技术

Skype作为第四代P2P的杰出代表，除了具备第三代P2P应用的集中和分布式网络体系结构外，还采用了动态选择端口方法、多协议并用方式进行连接，从而达到健全Skype通讯网络的目的。

UAG P2P应用识别技术在深入理解P2P协议模型的基础上，针对Skype协议进行逆向工程深度分析和跟踪调试，独创性地建立了针对P2P协议识别的通用模型。该模型针对通讯数据综合进行特征匹配(其特征可以是固定的特征、双方的交互行为特征、流量统计特征)、标识连接、发现节点，并根据与该节点的行为交互从而识别更多的连接，由于是基于节点以及基于统计规律来识别Skype协议，在保证性能的同时也提高了协议识别的准确性。

4)P2P/IM类应用识别技术

P2P类应用的特点是单个IP的连接数较多，每个连接的端口号不固定，每个连接数据包的包长且速率较大，UAG在深入理解P2P协议模型基础上，建立了针对P2P协议识别的通用模型。

5)流量控制

传统带宽管理模型都以一个接口上的转发流量为核心，即对进入同一个接口的流量按照不同的流量等级分配不同的带宽，对接口带宽采用的是一种扁平化的带宽管理方法。

利用被广泛采用的数据包深层扫描(DPI)技术，能够检测出报文所属的L7应用协议以及L7内容特征，但是基于TCP或UDP的应用层协议繁多，应用协议经过整理后，可以达到成百上千种，用户如果仍然基于应用层协议对流量进行管理，是非常困难的。

UAG带宽控制技术是面向IT服务的流量管理，实现了网络与系统的高效管理，使管理更加灵活、可用性更高。能够基于不同的分段、不同的用户以及IT服务等应用不同的带宽策略，达到细分流量管理的目的。

6)共享接入管理

UAG共享接入管理可以准确检测出共享上网用户以及在线共享主机数目。UAG产品采用ID轨迹检测技术和时钟偏移检测技术，结合多种应用层特征检测技术(如应用特征检测、流量/连接数统计、TTL检测、MAC地址检测等)，用以监测以NAT、Proxy等多种方式进行共享接入的用户以及准确的PC数量。其中ID轨迹检测是基于IP报文的ID域值检测，一个操作系统的网络协议栈的ID初始值是随机产生的，每发送一个IP报文，其ID值增1。该方法可以较准确地判断出是否为共享上网用户以及在线共享的主机数量。

7)用户行为审计

目前网络应用行为日益频繁，学校和企业网络中内部安全和内部控制的重要性日益突出，员工通过网络泄漏重要数据、学生或员工在网上传播非法言论造成社会恶劣影响等事件时有发生。及时记录内部人员的上网行为，从而做到事后有据可查成为目前校园网和企业网迫切需要解决的问题。

UAG用户行为审计功能可以对用户的上网行为进行全面记录，为取证提供完备的依据。UAG用户行为审计功能包括用户HTTP访问行为记录，用户电子邮件行为记录以及FTP上传下载行为审计。通过对URL的全记录，完全掌握用户上网行为，定位用户访问网页或查看的文件；通过对用户电子邮件内重要信息以及FTP上传下载文件名等信息的审计，完成数据流动的完全监控。

5 结束语

深圳大运会体育中心计算机网络系统自2011年3月投入运营以来，系统稳定可靠，其作为智能建筑的神经中枢，在2011年8月召开的第23届世界大学生运动会中起到了非常重要的作用。

[1] 曹秀英.无线局域网安全系统[M].北京：电子工业出版社，2004.

[2] 刘乃安.无线局域网(WLAN)——原理、技术与应用[M].北京：人民教育出版社，2004.

[3] 深圳市工务署.大运中心智能化系统技术需求书[Z].

The Application of Computer Network System of Shenzhen Universiade Sports Center

Wu Jianguo

深圳大运会体育中心场馆计算机网络系统包含大运会体育场、体育馆、游泳馆内的公网、控制网、监控网和广播网4套网络,介绍了3个场馆4套网络的结构、功能及配置。

公网 控制网 监控网 广播网 核心交换机 汇聚交换机 接入交换机 无线设计

The computer network system of Shenzhen universiade sports center stadium is consisted of public network, control network, monitoring network and broadcasting network in the scope of stadium, gymnasium and swimming pool. This paper introduces the structure, function and configuration of the four sets of networks.

public network, control network, monitor network, radio network, core switches, aggregation switches, access switches, wireless design