久久午夜无码鲁丝片,国产一区二区三区精品视频,小雪第一次交换又粗又大老杨,亚洲av永久无码精品

服務(wù)咨詢電話: 0531-82393086

news center

廣鵬產(chǎn)品案例社區(qū)
集團(tuán)化企業(yè)廣域網(wǎng)解決方案

回顧中國(guó)企業(yè)的發(fā)展歷程,從無(wú)到有,從小到大的每一步的發(fā)展,所帶來(lái)的競(jìng)爭(zhēng)力增強(qiáng),給剛剛進(jìn)入WTO的中國(guó)企業(yè)帶來(lái)了巨大的改變。

推進(jìn)特色產(chǎn)業(yè)集群化發(fā)展,加快優(yōu)勢(shì)企業(yè)集團(tuán)化建設(shè),是國(guó)家一直倡導(dǎo)的,為了迎接全球競(jìng)爭(zhēng)所帶來(lái)的壓力,國(guó)內(nèi)企業(yè)紛紛組建集團(tuán),將優(yōu)勢(shì)企業(yè)強(qiáng)強(qiáng)聯(lián)合,形成集團(tuán)優(yōu)勢(shì),提升整體競(jìng)爭(zhēng)力。

集團(tuán)化的發(fā)展帶來(lái)了競(jìng)爭(zhēng)力的提高,同時(shí)也帶來(lái)了體制和管理方面的變革,為了促進(jìn)集團(tuán)化戰(zhàn)略的發(fā)展,各個(gè)企業(yè)利用先進(jìn)的技術(shù)作為基礎(chǔ),建設(shè)集團(tuán)骨干網(wǎng),連接下屬企業(yè),形成有效地溝通平臺(tái),保障企業(yè)的快速發(fā)展。

廣域網(wǎng)建設(shè)需求分析

集團(tuán)化企業(yè)內(nèi)各個(gè)下屬單位分布分散,常常造成協(xié)調(diào)不一致,溝通不暢,管理不到位的情況,這對(duì)于一個(gè)企業(yè)來(lái)說(shuō),是不能忍受的,如何保障信息通暢,保障有效的管理,一個(gè)連接各個(gè)下屬公司的網(wǎng)絡(luò)平臺(tái),成為溝通的有效途徑;但如此一張大網(wǎng)如何進(jìn)行建設(shè)和管理,就成了急需解決的問(wèn)題。

集團(tuán)化公司在成立初期,自身網(wǎng)絡(luò)已初具規(guī)模,但下屬公司之間差別很大,技術(shù)力量也參差不齊,就需要在網(wǎng)絡(luò)規(guī)劃初期周密考慮。

網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì):一個(gè)好的網(wǎng)絡(luò)結(jié)構(gòu)是關(guān)系到網(wǎng)絡(luò)的整體可靠性的問(wèn)題,對(duì)于集團(tuán)化運(yùn)作的企業(yè),業(yè)務(wù)系統(tǒng)需要不間斷的運(yùn)行,如何使網(wǎng)絡(luò)更加可靠,就需要一個(gè)可靠的網(wǎng)絡(luò)結(jié)構(gòu)作為保障。

IP地址的重疊問(wèn)題:一般企業(yè)的局域網(wǎng)建設(shè)都早于廣域網(wǎng),IP地址的規(guī)劃也各自為政,由于單位眾多,往往IP地址重疊嚴(yán)重,因此需要統(tǒng)一規(guī)劃IP地址或采用其他技術(shù)解決地址重疊。

路由規(guī)劃:路由規(guī)劃的好壞直接影響到日后企業(yè)不斷擴(kuò)張和業(yè)務(wù)的要求,因此對(duì)于大型集團(tuán)企業(yè),前期路由的規(guī)劃應(yīng)考慮到日后企業(yè)擴(kuò)張的需求。

QoS的考慮:對(duì)于網(wǎng)絡(luò)來(lái)說(shuō)廣域網(wǎng)的鏈路帶寬永遠(yuǎn)小于局域網(wǎng)的接入帶寬,數(shù)據(jù)流傳輸類似于城市交通,總會(huì)出現(xiàn)擁堵的情況,如何解決實(shí)時(shí)數(shù)據(jù)和關(guān)鍵業(yè)務(wù)的流量順利傳輸,需要在規(guī)劃中將業(yè)務(wù)進(jìn)行分類和設(shè)計(jì)。

業(yè)務(wù)隔離考慮:對(duì)于集團(tuán)化運(yùn)作的企業(yè),各種業(yè)務(wù)之間混雜在一起,相互影響,特別是在廣域網(wǎng)中,需要對(duì)業(yè)務(wù)進(jìn)行有效的隔離,以提高業(yè)務(wù)運(yùn)轉(zhuǎn)的高效率。

網(wǎng)絡(luò)安全考慮:集團(tuán)網(wǎng)絡(luò)規(guī)模龐大,安全系數(shù)低,一點(diǎn)點(diǎn)小的漏洞,就會(huì)造成整體網(wǎng)絡(luò)癱瘓,在現(xiàn)今企業(yè),業(yè)務(wù)對(duì)網(wǎng)絡(luò)的依賴程度越來(lái)越深,安全的防護(hù)也越來(lái)越重要。

管理的考慮:大型網(wǎng)絡(luò)的管理是一個(gè)復(fù)雜的系統(tǒng)工程,簡(jiǎn)單的人工管理,只會(huì)造成網(wǎng)絡(luò)進(jìn)一步混亂,維護(hù)成本越來(lái)越高,如何降低總擁有成本TCO,智能化管理是集團(tuán)企業(yè)必不可少的有效工具。

集團(tuán)化廣域網(wǎng)解決方案

集團(tuán)化企業(yè)信息系統(tǒng)的發(fā)展,對(duì)基礎(chǔ)網(wǎng)絡(luò)的依賴程度越來(lái)越高,保障其各個(gè)業(yè)務(wù)系統(tǒng)穩(wěn)定、高效的運(yùn)行。這就需要一個(gè)可靠、安全、高效、集成的網(wǎng)絡(luò)平臺(tái)來(lái)承載其業(yè)務(wù)的應(yīng)用。 H3C在基于對(duì)企業(yè)的充分理解的基礎(chǔ)上,結(jié)合未來(lái)發(fā)展的可控網(wǎng)絡(luò)的思想,為集團(tuán)化企業(yè)設(shè)計(jì)了廣域網(wǎng)的解決方案。

一個(gè)典型的集團(tuán)化企業(yè)三級(jí)廣域網(wǎng)拓?fù)鋱D如下:

 集團(tuán)化企業(yè)的廣域網(wǎng)建設(shè)主要是符合業(yè)務(wù)系統(tǒng)的需要。目前數(shù)據(jù)大集中、語(yǔ)音、視頻的應(yīng)用,對(duì)廣域網(wǎng)提出了更高的要求,考慮到這些要求和用戶對(duì)網(wǎng)絡(luò)可靠性的需要,建議采用雙設(shè)備、雙鏈路的方式進(jìn)行組網(wǎng),實(shí)現(xiàn)一個(gè)安全、可靠、多業(yè)務(wù)承載的網(wǎng)絡(luò)平臺(tái)。

網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)

網(wǎng)絡(luò)結(jié)構(gòu)分為星形、網(wǎng)狀、環(huán)形、混合等多種不同拓?fù)洌糠N拓?fù)涠加胁煌目煽啃?,投資也各不相同,對(duì)于集團(tuán)化企業(yè)來(lái)說(shuō),由于規(guī)模龐大,下屬分支節(jié)點(diǎn)多,多采用雙星形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),

如圖所示,雙星形的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)實(shí)際是主備兩套網(wǎng)絡(luò)平臺(tái)同時(shí)在線,當(dāng)一點(diǎn)出現(xiàn)故障,可利用另一網(wǎng)絡(luò)平臺(tái)進(jìn)行數(shù)據(jù)傳輸,實(shí)現(xiàn)業(yè)務(wù)不中斷的運(yùn)行。

雙星形拓?fù)渚哂幸韵绿攸c(diǎn)

可靠性高:采用兩個(gè)核心節(jié)點(diǎn)的雙連接星形網(wǎng)絡(luò)結(jié)構(gòu),使得網(wǎng)絡(luò)具有可靠性、可用性及安全性,避免了單點(diǎn)失效的隱患。

支持流量的負(fù)載分擔(dān):網(wǎng)絡(luò)流量可能隨著多種業(yè)務(wù)的發(fā)展日益壯大(如語(yǔ)音,視頻會(huì)議),網(wǎng)絡(luò)流量的負(fù)載分擔(dān)問(wèn)題將會(huì)成為網(wǎng)絡(luò)可用性的主要因素,采用雙連接的網(wǎng)絡(luò)結(jié)構(gòu),使得網(wǎng)絡(luò)的流量能夠比較合理的分布在各條鏈路上。

支持網(wǎng)絡(luò)的冗余備份:核心節(jié)點(diǎn)采用兩臺(tái)高性能的網(wǎng)絡(luò)設(shè)備,使得核心層具有較好的冗余備份能力。同時(shí),兩臺(tái)核心設(shè)備之間要采用高速鏈路互連,提供了核心設(shè)備間的高速互連帶寬,避免兩臺(tái)設(shè)備之間形成傳輸瓶頸。

解決IP地址重疊

IP地址的重疊有其自身原因,也有大多企業(yè)信息化從局部開始,向集團(tuán)整體發(fā)展的問(wèn)題,這是企業(yè)自下向上發(fā)展的模式所造成的。在集團(tuán)廣域網(wǎng)建設(shè)初期,如何解決IP地址沖突的問(wèn)題?就成了企業(yè)信息化進(jìn)程中必須解決的首要問(wèn)題。

企業(yè)IP地址的選擇大多采用私網(wǎng)地址,由于私網(wǎng)地址的數(shù)量有限,經(jīng)常會(huì)造成不同企業(yè)選擇相同地址段的IP,那么解決之道主要有以下兩種方式:

先期不改變現(xiàn)有地址,采用NAT方式解決地址重疊,再逐步更改IP地址。這樣的優(yōu)勢(shì)是集團(tuán)企業(yè)網(wǎng)絡(luò)改造的范圍不大,影響小,能夠盡快實(shí)現(xiàn)廣域網(wǎng)連接;劣勢(shì)是在未完全更改完IP地址前,網(wǎng)絡(luò)管理復(fù)雜,維護(hù)難度大,對(duì)于其他業(yè)務(wù)應(yīng)用有很大的影響。

改變現(xiàn)有地址,杜絕IP地址重疊。利用集團(tuán)總公司的行政權(quán)力,重新規(guī)劃IP地址,所有下屬企業(yè)按新的地址重新配置,徹底杜絕IP地址沖突。這樣的優(yōu)勢(shì)是管理簡(jiǎn)單,易維護(hù),對(duì)日后的業(yè)務(wù)支持好;劣勢(shì)是影響范圍大,IP地址改造時(shí)間長(zhǎng)。

綜上所述,根據(jù)企業(yè)的不同情況和環(huán)境靈活選擇,最終將以前不合理的IP地址重疊問(wèn)題徹底杜絕,為企業(yè)日后信息化的發(fā)展鋪平道路。

路由設(shè)計(jì)

對(duì)大型企業(yè)網(wǎng)絡(luò)來(lái)說(shuō),選擇一個(gè)合適的路由協(xié)議是非常重要的,不恰當(dāng)?shù)倪x擇有時(shí)對(duì)網(wǎng)絡(luò)是致命的。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)規(guī)模越來(lái)越大,網(wǎng)絡(luò)上的業(yè)務(wù)類型也越來(lái)越多,其中最主要的兩大類應(yīng)用是:基于組播技術(shù)(包括VOD點(diǎn)播、遠(yuǎn)程培訓(xùn)、實(shí)時(shí)視/音頻會(huì)議等)和基于MPLS技術(shù)(包括L3 VPN、L2 VPN、VPLS、VPWS、TE等)。無(wú)論是組播技術(shù)還是MPLS技術(shù)都緊密依賴于路由技術(shù),路由設(shè)計(jì)的結(jié)果直接影響這兩大類業(yè)務(wù)的實(shí)際效果,因此路由協(xié)議的選擇、路由的部署就顯得尤其重要。

動(dòng)態(tài)路由協(xié)議是集團(tuán)化廣域網(wǎng)建設(shè)的首選,根據(jù)作用的范圍,分為內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol,簡(jiǎn)稱IGP)和外部網(wǎng)關(guān)協(xié)議(Exterior Gateway Protocol,簡(jiǎn)稱EGP),其中IGP協(xié)議包括RIPOSPFIS-IS等,EGP協(xié)議目前只有BGP,而如何選擇路由協(xié)議,其主要跟以下原因有關(guān)。

路由協(xié)議的開放性:開放性的路由協(xié)議保證了不同廠商都能對(duì)本路由協(xié)議進(jìn)行支持,這不僅保證了目前網(wǎng)絡(luò)的互通性,而且保證了將來(lái)網(wǎng)絡(luò)發(fā)展的擴(kuò)充能力和選擇空間。

網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu):網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)直接影響協(xié)議的選擇。例如RIP這樣比較簡(jiǎn)單的路由協(xié)議不支持分層次的路由信息計(jì)算,對(duì)復(fù)雜網(wǎng)絡(luò)的適應(yīng)能力較弱。路由協(xié)議還必須支持網(wǎng)絡(luò)拓?fù)涞淖兓?,在拓?fù)浒l(fā)生變化時(shí),無(wú)論是對(duì)網(wǎng)絡(luò)中的路由本身,還是網(wǎng)絡(luò)設(shè)備的管理都要保證影響最小。

網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量:不同的協(xié)議對(duì)于網(wǎng)絡(luò)規(guī)模的支持能力有所不同,需要按需求適當(dāng)選擇,有時(shí)還需要采用一些特殊技術(shù)解決適應(yīng)網(wǎng)絡(luò)規(guī)模方面的擴(kuò)展性問(wèn)題。

與其他網(wǎng)絡(luò)的互連要求:通過(guò)劃分成相對(duì)獨(dú)立管理的網(wǎng)絡(luò)區(qū)域,可以減少網(wǎng)絡(luò)間的相關(guān)性,有利于網(wǎng)絡(luò)的擴(kuò)展,路由協(xié)議要能支持減少網(wǎng)絡(luò)間的相關(guān)性(通常劃分為一個(gè)自治系統(tǒng)(AS)),在AS之間需要采用適當(dāng)?shù)膮^(qū)域間路由協(xié)議。必要時(shí)還要考慮路由信息安全因素和對(duì)路由交換的限制管理

管理和安全上的要求:通常要求在可以滿足功能需求的情況下盡可能簡(jiǎn)化管理。但有時(shí)為了實(shí)現(xiàn)比較完善的管理功能或?yàn)榱藵M足安全的需要,例如對(duì)路由的傳播和選用提出一些人為的要求,就需要路由協(xié)議對(duì)策略的支持。

對(duì)于中小型網(wǎng)絡(luò)來(lái)說(shuō),采用IGP協(xié)議較多,這有力于維護(hù)和管理。其中RIP協(xié)議由于收斂時(shí)間慢、不支持分層、擴(kuò)展性差等先天缺陷除了極個(gè)別的應(yīng)用場(chǎng)合,通常不應(yīng)被考慮;ISIS協(xié)議維護(hù)人員少、廠家設(shè)備支持少,整體維護(hù)成本高,應(yīng)用較少;而OSPF協(xié)議應(yīng)用最為廣泛,維護(hù)人員多。因此,在實(shí)際網(wǎng)絡(luò)部署中,通常采用OSPF 。

一個(gè)典型的OSPF 路由設(shè)計(jì)如下:

對(duì)于大型網(wǎng)絡(luò)來(lái)說(shuō),由于規(guī)模大,業(yè)務(wù)需求豐富,通常采用EGP協(xié)議。EGP協(xié)議的可選項(xiàng)只有一個(gè),那就是BGP,由于其自身的技術(shù)特點(diǎn),特別適合于大型網(wǎng)絡(luò)中需要承載網(wǎng)和業(yè)務(wù)網(wǎng)分離的應(yīng)用。

一個(gè)典型的多域BGP路由設(shè)計(jì)如下:

業(yè)務(wù)隔離—MPLS VPN設(shè)計(jì)

伴隨企業(yè)和公司的不斷擴(kuò)張,集團(tuán)化企業(yè)網(wǎng)絡(luò)建設(shè)已經(jīng)由原來(lái)的內(nèi)部局域網(wǎng)發(fā)展成為跨區(qū)域、跨城市的廣域連接,隨著承載業(yè)務(wù)的不斷增加和對(duì)業(yè)務(wù)的安全性的要求,用原有的IP技術(shù)已經(jīng)難以解決,而MPLS VPN技術(shù)的出現(xiàn),使得企業(yè)能夠利用現(xiàn)有廣域網(wǎng)建立自己的虛擬專網(wǎng),形成一網(wǎng)多平面地傳輸平臺(tái),使不同的業(yè)務(wù)運(yùn)行在不同的傳輸平面上,既實(shí)現(xiàn)了業(yè)務(wù)的隔離,又保障了安全,從而滿足企業(yè)自身網(wǎng)絡(luò)應(yīng)用的要求。

MPLS VPN技術(shù)介紹

MPLS可以看作是一種面向連接的技術(shù),通過(guò)MPLS信令建立好MPLS標(biāo)記交換通道,可以實(shí)現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)中的快速轉(zhuǎn)發(fā);MPLS VPN是一種基于MPLS技術(shù)的IP-VPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù),簡(jiǎn)化核心路由器的路由選擇方式,結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)IP虛擬專用網(wǎng)絡(luò)(IP VPN),采用MPLS VPN技術(shù)實(shí)現(xiàn)虛擬路由器和隔離的虛擬轉(zhuǎn)發(fā)表和路由表,把現(xiàn)有的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)。

MPLS/BGP VPN的模型中,網(wǎng)絡(luò)由骨干網(wǎng)和用戶的各個(gè)Site組成,一個(gè)VPN就對(duì)應(yīng)一個(gè)由若干site組成的集合。屬于同一個(gè)VPN的兩個(gè)用戶之間可以正常訪問(wèn),不同VPN之間不能隨意連通。

MPLS VPN在集團(tuán)企業(yè)的應(yīng)用

在企業(yè)內(nèi)部署MPLS VPN,可以實(shí)現(xiàn)財(cái)務(wù)、ERP、OA和語(yǔ)音視頻系統(tǒng)等業(yè)務(wù)的虛擬專網(wǎng)服務(wù),同時(shí)各虛擬專網(wǎng)之間也可以通過(guò)策略,實(shí)現(xiàn)安全可靠的信息交換。

對(duì)于集團(tuán)化企業(yè),可以為各個(gè)下屬企業(yè)提供統(tǒng)一的網(wǎng)絡(luò)平臺(tái),通過(guò)MPLS VPN虛擬網(wǎng)絡(luò),將集團(tuán)內(nèi)相互交流的不同業(yè)務(wù)分成不同的轉(zhuǎn)發(fā)平面,實(shí)現(xiàn)其安全和靈活性。同時(shí)各業(yè)務(wù)系統(tǒng)之間相互獨(dú)立,以便于各業(yè)務(wù)系統(tǒng)的接入和擴(kuò)展。

分層HOPE

由于MPLS/VPN 協(xié)議規(guī)劃是由核心、邊緣的兩層扁平結(jié)構(gòu)組成,所有設(shè)備都要維護(hù)VPN 的路由信息,但集團(tuán)企業(yè)廣域網(wǎng)核心、匯聚、接入三層組網(wǎng)結(jié)構(gòu)中設(shè)備性能逐層降低的情況,對(duì)數(shù)量眾多的接入節(jié)點(diǎn)設(shè)備的性能提出嚴(yán)峻考驗(yàn),如果更換接入設(shè)備檔次滿足組網(wǎng)需求,又會(huì)導(dǎo)致組網(wǎng)成本大幅提升。

為解決多層接入問(wèn)題,H3C 采用了分層PE 技術(shù)。分層PE 的結(jié)構(gòu)如下圖所示,直接連結(jié)用戶的設(shè)備稱為下層PE(Underlayer PE User-end PE,用戶側(cè)PE),簡(jiǎn)寫為UPE,連結(jié)UPE 并位于網(wǎng)絡(luò)內(nèi)部的設(shè)備稱為上層PE(Superstratum PE Sevice Provider-end PE,服務(wù)運(yùn)營(yíng)商側(cè)PE),簡(jiǎn)寫為SPE。這種框架結(jié)構(gòu)稱為PE 的分層結(jié)構(gòu)(Hiberarchy of PE),簡(jiǎn)寫為HoPE。

多個(gè)UPE SPE 構(gòu)成分層式PE,它們之間的分工是:

UPE維護(hù)其直接連接的VPN 的路由,但不維護(hù)VPN 中其它節(jié)點(diǎn)的路由或僅維護(hù)它們的聚合路由;SPE 維護(hù)其通過(guò)UPE 所連接的節(jié)點(diǎn)所在的VPN 中的所有路由,包括本地和遠(yuǎn)程節(jié)點(diǎn)中的路由。

UPE為其直接連接的節(jié)點(diǎn)的路由分配內(nèi)層標(biāo)簽,并通過(guò)MP-BGP VPN 路由發(fā)布這個(gè)標(biāo)簽給SPE;SPE 不發(fā)布遠(yuǎn)程節(jié)點(diǎn)中的路由給UPE,而是只發(fā)布VRF 默認(rèn)路由或聚合路由給UPE,并攜帶標(biāo)簽。

采用分層PE 技術(shù)后,SPE 就成為UPE 設(shè)備的代理,更上一級(jí)設(shè)備根本感知不到UPE 的存在,如果想與UPE 互通只需要與SPE 互通就可以了,分層PE 技術(shù)減少了骨干和匯聚層設(shè)備上面的路由信息,對(duì)UPE 的處理性能要求大幅降低,SPE、UPE 方式還可支持多級(jí)嵌套,更適合于集團(tuán)企業(yè)逐層連接的網(wǎng)絡(luò)結(jié)構(gòu)。

QoS 設(shè)計(jì)

廣域網(wǎng)的建設(shè)是復(fù)雜的,源于其自身特點(diǎn)帶寬瓶頸,如何利用有限的帶寬,保障實(shí)時(shí)業(yè)務(wù)和關(guān)鍵業(yè)務(wù)的及時(shí)傳輸?QoS技術(shù)得到了廣泛的應(yīng)用。

目前集團(tuán)化企業(yè)網(wǎng)絡(luò)中主要包括三種業(yè)務(wù)應(yīng)用為語(yǔ)音、數(shù)據(jù)、視頻,數(shù)據(jù)又分為關(guān)鍵業(yè)務(wù)和一般應(yīng)用等,這些業(yè)務(wù)對(duì)IP QoS技術(shù)指標(biāo)的要求是不同的,通過(guò)有效地實(shí)施各項(xiàng)IP QoS技術(shù),使得網(wǎng)絡(luò)管理人員能夠有效地控制網(wǎng)絡(luò)資源及其使用。

IP QoS技術(shù)在設(shè)計(jì)實(shí)施時(shí),首先需要考慮選擇合適的技術(shù)框架,也即服務(wù)模型,而由于DiffServ(區(qū)分服務(wù))模式具有處理效率高,部署和實(shí)施方便的特點(diǎn)被普遍采用。

下面的網(wǎng)絡(luò)模型為一個(gè)基本的DiffServ 體系架構(gòu)模型:

Diffserv體系架構(gòu)一般分為兩個(gè)層次,接入、骨干,骨干區(qū)域可為IPMPLS 轉(zhuǎn)發(fā)。按照端到端的部署原則,分別在下列管理區(qū)域:接入網(wǎng)絡(luò)、接入網(wǎng)絡(luò)邊緣、骨干網(wǎng)絡(luò)邊緣、骨干網(wǎng)絡(luò)分別部署QoS策略。

對(duì)上述的網(wǎng)絡(luò)模型實(shí)施IP QoS,一般都包括以下6個(gè)步驟:

識(shí)別業(yè)務(wù)中的關(guān)鍵應(yīng)用,對(duì)關(guān)鍵應(yīng)用進(jìn)行分類。在對(duì)應(yīng)用分類前,必須明確這些關(guān)鍵應(yīng)用對(duì)時(shí)延、丟包率、抖動(dòng)的要求、應(yīng)用的屬性或性能要求以及所使用的傳輸層協(xié)議棧;

標(biāo)記,為不同的業(yè)務(wù)數(shù)據(jù)流設(shè)置DSCP/IP Precedence優(yōu)先級(jí)標(biāo)記;

為每一類業(yè)務(wù)或應(yīng)用定義QoS監(jiān)管策略。根據(jù)業(yè)務(wù)數(shù)據(jù)流的分類和標(biāo)記信息,為不同的業(yè)務(wù)數(shù)據(jù)流分配網(wǎng)絡(luò)帶寬(包括最小帶寬、最大帶寬、突發(fā)速率等);

擁塞管理(Queuing):對(duì)輸出的業(yè)務(wù)數(shù)據(jù)流進(jìn)行排隊(duì),以實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的優(yōu)先傳輸;

擁塞避免(WRED):通過(guò)丟棄低優(yōu)先級(jí)數(shù)據(jù)包來(lái)解決網(wǎng)絡(luò)擁塞;

根據(jù)網(wǎng)絡(luò)中的業(yè)務(wù)流量,監(jiān)控關(guān)鍵應(yīng)用的時(shí)延、抖動(dòng)和丟包率,并實(shí)時(shí)調(diào)整QoS策略以保證應(yīng)用性能。

MPLS DiffServ

對(duì)于MPLS網(wǎng)絡(luò)也可以通過(guò)DiffServ實(shí)現(xiàn),在保證網(wǎng)絡(luò)高利用率的同時(shí),可以根據(jù)不同VPNEXP優(yōu)先級(jí)實(shí)現(xiàn)差別服務(wù),從而為語(yǔ)音、視頻等數(shù)據(jù)流提供有帶寬保證的低延時(shí)、低丟包率的服務(wù)。

DiffServ的基本機(jī)制是在網(wǎng)絡(luò)邊緣,根據(jù)業(yè)務(wù)的服務(wù)質(zhì)量要求將該業(yè)務(wù)映射到一定的業(yè)務(wù)類別中,利用IP分組中的DS字段(由TOS域而來(lái))唯一標(biāo)記該類業(yè)務(wù),然后,骨干網(wǎng)絡(luò)中的各節(jié)點(diǎn)根據(jù)該字段對(duì)各種業(yè)務(wù)采取預(yù)先設(shè)定的服務(wù)策略,保證相應(yīng)的服務(wù)質(zhì)量。

基于MPLSDiffServ就是通過(guò)將DS的分配與MPLS的標(biāo)簽分配過(guò)程結(jié)合來(lái)實(shí)現(xiàn)的。MPLS DiffServRFC3270定義,要求通過(guò)MPLS包頭中的EXP值攜帶DiffServ PHB,標(biāo)簽交換路由器(LSR)在做出轉(zhuǎn)發(fā)決策時(shí)要考慮MPLS EXP值。

安全設(shè)計(jì)

隨著網(wǎng)絡(luò)技術(shù)的普及,網(wǎng)絡(luò)攻擊行為出現(xiàn)得越來(lái)越頻繁。通過(guò)各種攻擊軟件,只要具有一般計(jì)算機(jī)常識(shí)的初學(xué)者也能完成對(duì)網(wǎng)絡(luò)的攻擊。各種網(wǎng)絡(luò)病毒的泛濫,也加劇了網(wǎng)絡(luò)被攻擊的危險(xiǎn)。

集團(tuán)化企業(yè)的網(wǎng)絡(luò)更加龐大,而且Internet的出口多,造成網(wǎng)絡(luò)的安全隱患多;同時(shí)各分支機(jī)構(gòu)的系統(tǒng)復(fù)雜性,又造成安全問(wèn)題糾纏不清,一點(diǎn)出現(xiàn)問(wèn)題,全網(wǎng)受影響,而且排除困難。那么如何保障網(wǎng)絡(luò)的安全呢?

網(wǎng)絡(luò)的安全應(yīng)從整體上考慮,首先需要將安全層次分清,將不同的區(qū)域劃分成不同的安全區(qū)域進(jìn)行保護(hù),如數(shù)據(jù)中心區(qū)域,外部連接區(qū)域(Internet出口、分支機(jī)構(gòu)連接),重要部門(財(cái)務(wù)部門等);然后考慮每個(gè)區(qū)域的接入安全,如終端安全等。這樣就形成全方位的安全防護(hù)。

區(qū)域間防護(hù)—H3C IPS+Firewall組合式解決方案

隨著IT技術(shù)的發(fā)展,安全模型逐漸改變,單一防火墻的安全模型已不能滿足用戶的需求,應(yīng)用層的安全攻擊能夠輕易穿透防火墻,形成新的隱患,給企業(yè)的信息系統(tǒng)造成損失。

針對(duì)防火墻的不足,需要有新的安全設(shè)備與之配合,這就是IPS―入侵防御系統(tǒng),可以這么解釋IPS在網(wǎng)絡(luò)安全上的重要性,將一個(gè)需要保護(hù)的網(wǎng)絡(luò)比作一間密封的大屋子,傳統(tǒng)的防火墻相當(dāng)于在屋子的墻上開了幾個(gè)窗口,讓空氣和光線可以進(jìn)來(lái),而IPS相當(dāng)于給這些窗口裝上紗窗、玻璃和窗簾,以擋風(fēng)遮雨,同時(shí)防范蒼蠅、蚊子、灰塵等進(jìn)入屋子。

通過(guò)IPS+Firewall組合,將網(wǎng)絡(luò)安全分層防護(hù),防火墻負(fù)責(zé)四層以下的防護(hù),IPS負(fù)責(zé)四層以上的防護(hù),IPSFirewall互相配合,形成區(qū)域安全邊界,保護(hù)企業(yè)重要出入口的安全。

區(qū)域內(nèi)防護(hù)—H3C EAD終端準(zhǔn)入防護(hù)解決方案

客戶端的保護(hù),對(duì)于任何企業(yè)來(lái)說(shuō)是一個(gè)非常困難的事,集團(tuán)化企業(yè)計(jì)算機(jī)普及率廣,數(shù)量大,終端一旦染毒,就成為一個(gè)攻擊點(diǎn),再加上大多數(shù)從業(yè)者的計(jì)算機(jī)水平普遍不高,這就造成終端的安全防護(hù)不夠,木馬程序肆意泛濫,成為企業(yè)最為頭疼的問(wèn)題。如何管理終端?如何保護(hù)終端不受侵害?

據(jù)權(quán)威機(jī)構(gòu)對(duì)用戶的調(diào)查分析,大多安全問(wèn)題主要集中在病毒和系統(tǒng)自身漏洞方面,H3C公司依據(jù)多年的經(jīng)驗(yàn)和先進(jìn)的網(wǎng)絡(luò)技術(shù),結(jié)合用戶的需求,推出EAD端點(diǎn)準(zhǔn)入防御系統(tǒng),配合交換機(jī)、路由器和安全設(shè)備,徹底保護(hù)網(wǎng)絡(luò)安全。

根據(jù)集團(tuán)化企業(yè)逐級(jí)部署的特點(diǎn),為了保護(hù)集團(tuán)內(nèi)所有終端的安全, H3C推出了分級(jí)部署方案,具體部署如下所示:

每一個(gè)區(qū)域一臺(tái)策略服務(wù)器,不同層次有不同的級(jí)別,從上到下安全策略逐級(jí)包含,但每一個(gè)區(qū)域又相互獨(dú)立,形成單獨(dú)的EAD系統(tǒng),應(yīng)用符合自身特點(diǎn)的安全策略。在每個(gè)區(qū)域內(nèi)EAD系統(tǒng)部署如下圖所示:

EAD在用戶接入網(wǎng)絡(luò)前,強(qiáng)制檢查用戶終端的安全狀態(tài),并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果,強(qiáng)制實(shí)施用戶接入控制策略,對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行隔離并強(qiáng)制用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁安裝等操作;在保證用戶終端具備自防御能力并安全接入的前提下,合理控制用戶的網(wǎng)絡(luò)行為,提升整網(wǎng)的安全防御能力。

IMC智能管理

通常,集團(tuán)化廣域網(wǎng)的建設(shè)涉及地域廣,各種網(wǎng)絡(luò)設(shè)備眾多,如何將分布在各個(gè)區(qū)域的眾多網(wǎng)絡(luò)設(shè)備有效的管理起來(lái),成為每一個(gè)網(wǎng)絡(luò)設(shè)計(jì)者和管理者不得不考慮的問(wèn)題。

H3C公司推出的網(wǎng)絡(luò)智能管理中心(iMC)基于SOA開放式框架,將網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)業(yè)務(wù)有機(jī)的整合起來(lái),實(shí)現(xiàn)網(wǎng)絡(luò)的運(yùn)營(yíng)和管理從網(wǎng)絡(luò)資源運(yùn)營(yíng)信息服務(wù)和流程服務(wù)、從粗放的規(guī)模運(yùn)營(yíng)和管理精確管理和精益運(yùn)營(yíng)轉(zhuǎn)變。

全面的基礎(chǔ)網(wǎng)絡(luò)資源管理

iMC可以對(duì)全網(wǎng)資源進(jìn)行統(tǒng)一部署、管理和調(diào)配,除了能夠有效的對(duì)各種主流廠商的路由器、交換機(jī)、安全、無(wú)線、語(yǔ)音等傳統(tǒng)網(wǎng)絡(luò)資源進(jìn)行管理之外,還可以對(duì)存儲(chǔ)、服務(wù)器、PCUPS等設(shè)備類型進(jìn)行管理,實(shí)現(xiàn)了故障、性能、拓?fù)?、配置等管理?nèi)容,成為業(yè)務(wù)融合聯(lián)動(dòng)的基礎(chǔ)。

在廣域網(wǎng)方面,其拓?fù)涔δ芘c故障管理和性能管理緊密融合,使拓?fù)鋱D能夠清晰地看到企業(yè)IT資源的狀態(tài),包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬、接口連通、配置變化都能一目了然。配合ACL管理、QoS管理等多種功能,靈活配置,實(shí)現(xiàn)輕松管理。

網(wǎng)絡(luò)資源和用戶的統(tǒng)一管理

iMC在對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理的基礎(chǔ)上,將網(wǎng)絡(luò)用戶一同納入管理范疇,從網(wǎng)絡(luò)拓?fù)鋱D上即可以了解到有哪些用戶通過(guò)哪些網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò),每個(gè)用戶的上網(wǎng)行為和安全狀態(tài)都可以實(shí)時(shí)得到監(jiān)控和審計(jì)。而且通過(guò)故障根源分析、SLA分析等基于規(guī)則和策略的深度分析,直觀展示網(wǎng)絡(luò)運(yùn)行狀態(tài),快速定位故障源,協(xié)助優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu);通過(guò)流量異常檢測(cè)、網(wǎng)絡(luò)安全事件的集中管理和基于資源管理平臺(tái)的協(xié)同響應(yīng),提高風(fēng)險(xiǎn)識(shí)別的準(zhǔn)確度、快速響應(yīng)安全威脅。

iMC可以支持LAN、WANWLAN、VPN等方式的用戶認(rèn)證接入,實(shí)現(xiàn)接入業(yè)務(wù)的統(tǒng)一、集中管理;同時(shí)支持智能卡、證書等強(qiáng)認(rèn)證功能,支持多種方式的端點(diǎn)準(zhǔn)入控制和基于身份的網(wǎng)絡(luò)服務(wù),實(shí)現(xiàn)用戶與資源和業(yè)務(wù)的融合管理。

集團(tuán)企業(yè)網(wǎng)MPLS VPN管理

基于集團(tuán)化企業(yè)廣域網(wǎng)建設(shè)的MPLS VPN虛擬專網(wǎng),解決了企業(yè)當(dāng)前紛雜不清的業(yè)務(wù)系統(tǒng)之間傳輸層面上的相互影響,使每個(gè)業(yè)務(wù)系統(tǒng)運(yùn)行在不同的網(wǎng)絡(luò)平臺(tái)上。然而,MPLS VPN涉及技術(shù)多而復(fù)雜,增加了網(wǎng)絡(luò)運(yùn)營(yíng)、部署、監(jiān)控、維護(hù)等方面的難度。

H3C公司的管理解決方案“MPLS VPN Manager”是基于H3C智能管理中心開發(fā)的,采用業(yè)界標(biāo)準(zhǔn)的SOA架構(gòu),提供融合的資源管理,重整業(yè)務(wù)流程,實(shí)現(xiàn)MPLS VPN業(yè)務(wù)整個(gè)生命周期(規(guī)劃、部署、監(jiān)視、審計(jì)、優(yōu)化、重構(gòu))的全流程管理。主要完成如下功能:

對(duì)MPLS VPN網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行規(guī)劃、部署以及已有業(yè)務(wù)的自動(dòng)還原;

對(duì)MPLS VPN網(wǎng)絡(luò)資源進(jìn)行管理,提供對(duì)VPN網(wǎng)絡(luò)的配置優(yōu)化;

對(duì)MPLS VPN網(wǎng)絡(luò)性能進(jìn)行監(jiān)控和故障關(guān)聯(lián)分析;

對(duì)MPLS VPN網(wǎng)絡(luò)配置進(jìn)行變更審計(jì);

對(duì)MPLS VPN網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行端到端的連通性測(cè)試。

集團(tuán)化企業(yè)發(fā)展展望

發(fā)揮集團(tuán)化優(yōu)勢(shì),提高整體競(jìng)爭(zhēng)力,是集團(tuán)化企業(yè)發(fā)展的初衷。H3C長(zhǎng)期致力于企業(yè)IT領(lǐng)域的建設(shè),努力發(fā)揮自身在IT技術(shù)前沿的優(yōu)勢(shì),為企業(yè)信息化構(gòu)建良好地網(wǎng)絡(luò)環(huán)境。同時(shí)H3C作為企業(yè)的一分子,切身體會(huì)企業(yè)建網(wǎng)的困惑,借助自身發(fā)展的經(jīng)驗(yàn)和教訓(xùn),在信息化建設(shè)的進(jìn)程中,與廣大企業(yè)攜手共進(jìn),實(shí)現(xiàn)雙贏。