回顧中國(guó)企業(yè)的發(fā)展歷程����,從無(wú)到有,從小到大的每一步的發(fā)展����,所帶來(lái)的競(jìng)爭(zhēng)力增強(qiáng)�����,給剛剛進(jìn)入WTO的中國(guó)企業(yè)帶來(lái)了巨大的改變。
推進(jìn)特色產(chǎn)業(yè)“集群化”發(fā)展�,加快優(yōu)勢(shì)企業(yè)“集團(tuán)化”建設(shè),是國(guó)家一直倡導(dǎo)的��,為了迎接全球競(jìng)爭(zhēng)所帶來(lái)的壓力��,國(guó)內(nèi)企業(yè)紛紛組建集團(tuán)��,將優(yōu)勢(shì)企業(yè)強(qiáng)強(qiáng)聯(lián)合���,形成集團(tuán)優(yōu)勢(shì)�����,提升整體競(jìng)爭(zhēng)力�����。
集團(tuán)化的發(fā)展帶來(lái)了競(jìng)爭(zhēng)力的提高���,同時(shí)也帶來(lái)了體制和管理方面的變革,為了促進(jìn)集團(tuán)化戰(zhàn)略的發(fā)展�����,各個(gè)企業(yè)利用先進(jìn)的技術(shù)作為基礎(chǔ),建設(shè)集團(tuán)骨干網(wǎng)��,連接下屬企業(yè)�����,形成有效地溝通平臺(tái)�,保障企業(yè)的快速發(fā)展。
廣域網(wǎng)建設(shè)需求分析
集團(tuán)化企業(yè)內(nèi)各個(gè)下屬單位分布分散���,常常造成協(xié)調(diào)不一致��,溝通不暢�,管理不到位的情況�,這對(duì)于一個(gè)企業(yè)來(lái)說(shuō),是不能忍受的�,如何保障信息通暢,保障有效的管理���,一個(gè)連接各個(gè)下屬公司的網(wǎng)絡(luò)平臺(tái)�����,成為溝通的有效途徑��;但如此一張大網(wǎng)如何進(jìn)行建設(shè)和管理�����,就成了急需解決的問(wèn)題��。
集團(tuán)化公司在成立初期���,自身網(wǎng)絡(luò)已初具規(guī)模,但下屬公司之間差別很大�,技術(shù)力量也參差不齊,就需要在網(wǎng)絡(luò)規(guī)劃初期周密考慮�����。
網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì):一個(gè)好的網(wǎng)絡(luò)結(jié)構(gòu)是關(guān)系到網(wǎng)絡(luò)的整體可靠性的問(wèn)題�,對(duì)于集團(tuán)化運(yùn)作的企業(yè),業(yè)務(wù)系統(tǒng)需要不間斷的運(yùn)行��,如何使網(wǎng)絡(luò)更加可靠�,就需要一個(gè)可靠的網(wǎng)絡(luò)結(jié)構(gòu)作為保障。
IP地址的重疊問(wèn)題:一般企業(yè)的局域網(wǎng)建設(shè)都早于廣域網(wǎng),IP地址的規(guī)劃也各自為政��,由于單位眾多�����,往往IP地址重疊嚴(yán)重�����,因此需要統(tǒng)一規(guī)劃IP地址或采用其他技術(shù)解決地址重疊���。
路由規(guī)劃:路由規(guī)劃的好壞直接影響到日后企業(yè)不斷擴(kuò)張和業(yè)務(wù)的要求����,因此對(duì)于大型集團(tuán)企業(yè)����,前期路由的規(guī)劃應(yīng)考慮到日后企業(yè)擴(kuò)張的需求。
QoS的考慮:對(duì)于網(wǎng)絡(luò)來(lái)說(shuō)廣域網(wǎng)的鏈路帶寬永遠(yuǎn)小于局域網(wǎng)的接入帶寬��,數(shù)據(jù)流傳輸類似于城市交通��,總會(huì)出現(xiàn)擁堵的情況�����,如何解決實(shí)時(shí)數(shù)據(jù)和關(guān)鍵業(yè)務(wù)的流量順利傳輸,需要在規(guī)劃中將業(yè)務(wù)進(jìn)行分類和設(shè)計(jì)�。
業(yè)務(wù)隔離考慮:對(duì)于集團(tuán)化運(yùn)作的企業(yè),各種業(yè)務(wù)之間混雜在一起�,相互影響����,特別是在廣域網(wǎng)中,需要對(duì)業(yè)務(wù)進(jìn)行有效的隔離����,以提高業(yè)務(wù)運(yùn)轉(zhuǎn)的高效率。
網(wǎng)絡(luò)安全考慮:集團(tuán)網(wǎng)絡(luò)規(guī)模龐大���,安全系數(shù)低���,一點(diǎn)點(diǎn)小的漏洞,就會(huì)造成整體網(wǎng)絡(luò)癱瘓�,在現(xiàn)今企業(yè),業(yè)務(wù)對(duì)網(wǎng)絡(luò)的依賴程度越來(lái)越深�����,安全的防護(hù)也越來(lái)越重要。
管理的考慮:大型網(wǎng)絡(luò)的管理是一個(gè)復(fù)雜的系統(tǒng)工程�����,簡(jiǎn)單的人工管理��,只會(huì)造成網(wǎng)絡(luò)進(jìn)一步混亂�����,維護(hù)成本越來(lái)越高�,如何降低總擁有成本TCO,智能化管理是集團(tuán)企業(yè)必不可少的有效工具���。
集團(tuán)化廣域網(wǎng)解決方案
集團(tuán)化企業(yè)信息系統(tǒng)的發(fā)展��,對(duì)基礎(chǔ)網(wǎng)絡(luò)的依賴程度越來(lái)越高�����,保障其各個(gè)業(yè)務(wù)系統(tǒng)穩(wěn)定�����、高效的運(yùn)行����。這就需要一個(gè)可靠、安全�����、高效��、集成的網(wǎng)絡(luò)平臺(tái)來(lái)承載其業(yè)務(wù)的應(yīng)用�。 H3C在基于對(duì)企業(yè)的充分理解的基礎(chǔ)上��,結(jié)合未來(lái)發(fā)展的可控網(wǎng)絡(luò)的思想�,為集團(tuán)化企業(yè)設(shè)計(jì)了廣域網(wǎng)的解決方案。
一個(gè)典型的集團(tuán)化企業(yè)三級(jí)廣域網(wǎng)拓?fù)鋱D如下:
集團(tuán)化企業(yè)的廣域網(wǎng)建設(shè)主要是符合業(yè)務(wù)系統(tǒng)的需要���。目前數(shù)據(jù)大集中�����、語(yǔ)音�、視頻的應(yīng)用��,對(duì)廣域網(wǎng)提出了更高的要求��,考慮到這些要求和用戶對(duì)網(wǎng)絡(luò)可靠性的需要,建議采用雙設(shè)備����、雙鏈路的方式進(jìn)行組網(wǎng),實(shí)現(xiàn)一個(gè)安全��、可靠���、多業(yè)務(wù)承載的網(wǎng)絡(luò)平臺(tái)���。
網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)
網(wǎng)絡(luò)結(jié)構(gòu)分為星形、網(wǎng)狀�����、環(huán)形����、混合等多種不同拓?fù)洌糠N拓?fù)涠加胁煌目煽啃?�,投資也各不相同�,對(duì)于集團(tuán)化企業(yè)來(lái)說(shuō),由于規(guī)模龐大��,下屬分支節(jié)點(diǎn)多,多采用雙星形網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)�,
如圖所示,雙星形的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)實(shí)際是主備兩套網(wǎng)絡(luò)平臺(tái)同時(shí)在線��,當(dāng)一點(diǎn)出現(xiàn)故障���,可利用另一網(wǎng)絡(luò)平臺(tái)進(jìn)行數(shù)據(jù)傳輸��,實(shí)現(xiàn)業(yè)務(wù)不中斷的運(yùn)行���。
雙星形拓?fù)渚哂幸韵绿攸c(diǎn)
可靠性高:采用兩個(gè)核心節(jié)點(diǎn)的雙連接星形網(wǎng)絡(luò)結(jié)構(gòu),使得網(wǎng)絡(luò)具有可靠性���、可用性及安全性,避免了單點(diǎn)失效的隱患��。
支持流量的負(fù)載分擔(dān):網(wǎng)絡(luò)流量可能隨著多種業(yè)務(wù)的發(fā)展日益壯大(如語(yǔ)音�����,視頻會(huì)議)�����,網(wǎng)絡(luò)流量的負(fù)載分擔(dān)問(wèn)題將會(huì)成為網(wǎng)絡(luò)可用性的主要因素,采用雙連接的網(wǎng)絡(luò)結(jié)構(gòu)�,使得網(wǎng)絡(luò)的流量能夠比較合理的分布在各條鏈路上。
支持網(wǎng)絡(luò)的冗余備份:核心節(jié)點(diǎn)采用兩臺(tái)高性能的網(wǎng)絡(luò)設(shè)備�,使得核心層具有較好的冗余備份能力。同時(shí)���,兩臺(tái)核心設(shè)備之間要采用高速鏈路互連����,提供了核心設(shè)備間的高速互連帶寬���,避免兩臺(tái)設(shè)備之間形成傳輸瓶頸�。
解決IP地址重疊
IP地址的重疊有其自身原因���,也有大多企業(yè)信息化從局部開始��,向集團(tuán)整體發(fā)展的問(wèn)題�����,這是企業(yè)自下向上發(fā)展的模式所造成的����。在集團(tuán)廣域網(wǎng)建設(shè)初期,如何解決IP地址沖突的問(wèn)題�����?就成了企業(yè)信息化進(jìn)程中必須解決的首要問(wèn)題��。
企業(yè)IP地址的選擇大多采用私網(wǎng)地址���,由于私網(wǎng)地址的數(shù)量有限���,經(jīng)常會(huì)造成不同企業(yè)選擇相同地址段的IP,那么解決之道主要有以下兩種方式:
先期不改變現(xiàn)有地址�,采用NAT方式解決地址重疊,再逐步更改IP地址����。這樣的優(yōu)勢(shì)是集團(tuán)企業(yè)網(wǎng)絡(luò)改造的范圍不大�����,影響小�����,能夠盡快實(shí)現(xiàn)廣域網(wǎng)連接;劣勢(shì)是在未完全更改完IP地址前��,網(wǎng)絡(luò)管理復(fù)雜��,維護(hù)難度大����,對(duì)于其他業(yè)務(wù)應(yīng)用有很大的影響。
改變現(xiàn)有地址���,杜絕IP地址重疊���。利用集團(tuán)總公司的行政權(quán)力,重新規(guī)劃IP地址����,所有下屬企業(yè)按新的地址重新配置,徹底杜絕IP地址沖突����。這樣的優(yōu)勢(shì)是管理簡(jiǎn)單,易維護(hù)����,對(duì)日后的業(yè)務(wù)支持好����;劣勢(shì)是影響范圍大��,IP地址改造時(shí)間長(zhǎng)�����。
綜上所述�,根據(jù)企業(yè)的不同情況和環(huán)境靈活選擇,最終將以前不合理的IP地址重疊問(wèn)題徹底杜絕����,為企業(yè)日后信息化的發(fā)展鋪平道路。
路由設(shè)計(jì)
對(duì)大型企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)�,選擇一個(gè)合適的路由協(xié)議是非常重要的,不恰當(dāng)?shù)倪x擇有時(shí)對(duì)網(wǎng)絡(luò)是致命的�。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)規(guī)模越來(lái)越大�,網(wǎng)絡(luò)上的業(yè)務(wù)類型也越來(lái)越多,其中最主要的兩大類應(yīng)用是:基于組播技術(shù)(包括VOD點(diǎn)播����、遠(yuǎn)程培訓(xùn)、實(shí)時(shí)視/音頻會(huì)議等)和基于MPLS技術(shù)(包括L3 VPN��、L2 VPN���、VPLS�、VPWS�����、TE等)����。無(wú)論是組播技術(shù)還是MPLS技術(shù)都緊密依賴于路由技術(shù),路由設(shè)計(jì)的結(jié)果直接影響這兩大類業(yè)務(wù)的實(shí)際效果��,因此路由協(xié)議的選擇����、路由的部署就顯得尤其重要。
動(dòng)態(tài)路由協(xié)議是集團(tuán)化廣域網(wǎng)建設(shè)的首選���,根據(jù)作用的范圍��,分為內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol����,簡(jiǎn)稱IGP)和外部網(wǎng)關(guān)協(xié)議(Exterior Gateway Protocol,簡(jiǎn)稱EGP)�,其中IGP協(xié)議包括RIP、OSPF和IS-IS等��,EGP協(xié)議目前只有BGP����,而如何選擇路由協(xié)議,其主要跟以下原因有關(guān)��。
路由協(xié)議的開放性:開放性的路由協(xié)議保證了不同廠商都能對(duì)本路由協(xié)議進(jìn)行支持�����,這不僅保證了目前網(wǎng)絡(luò)的互通性����,而且保證了將來(lái)網(wǎng)絡(luò)發(fā)展的擴(kuò)充能力和選擇空間。
網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu):網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)直接影響協(xié)議的選擇��。例如RIP這樣比較簡(jiǎn)單的路由協(xié)議不支持分層次的路由信息計(jì)算�,對(duì)復(fù)雜網(wǎng)絡(luò)的適應(yīng)能力較弱。路由協(xié)議還必須支持網(wǎng)絡(luò)拓?fù)涞淖兓?��,在拓?fù)浒l(fā)生變化時(shí)����,無(wú)論是對(duì)網(wǎng)絡(luò)中的路由本身��,還是網(wǎng)絡(luò)設(shè)備的管理都要保證影響最小�。
網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)量:不同的協(xié)議對(duì)于網(wǎng)絡(luò)規(guī)模的支持能力有所不同,需要按需求適當(dāng)選擇�����,有時(shí)還需要采用一些特殊技術(shù)解決適應(yīng)網(wǎng)絡(luò)規(guī)模方面的擴(kuò)展性問(wèn)題��。
與其他網(wǎng)絡(luò)的互連要求:通過(guò)劃分成相對(duì)獨(dú)立管理的網(wǎng)絡(luò)區(qū)域�,可以減少網(wǎng)絡(luò)間的相關(guān)性,有利于網(wǎng)絡(luò)的擴(kuò)展�����,路由協(xié)議要能支持減少網(wǎng)絡(luò)間的相關(guān)性(通常劃分為一個(gè)自治系統(tǒng)(AS))�����,在AS之間需要采用適當(dāng)?shù)膮^(qū)域間路由協(xié)議����。必要時(shí)還要考慮路由信息安全因素和對(duì)路由交換的限制管理
管理和安全上的要求:通常要求在可以滿足功能需求的情況下盡可能簡(jiǎn)化管理�。但有時(shí)為了實(shí)現(xiàn)比較完善的管理功能或?yàn)榱藵M足安全的需要����,例如對(duì)路由的傳播和選用提出一些人為的要求,就需要路由協(xié)議對(duì)策略的支持��。
對(duì)于中小型網(wǎng)絡(luò)來(lái)說(shuō)���,采用IGP協(xié)議較多����,這有力于維護(hù)和管理��。其中RIP協(xié)議由于收斂時(shí)間慢����、不支持分層、擴(kuò)展性差等先天缺陷除了極個(gè)別的應(yīng)用場(chǎng)合�����,通常不應(yīng)被考慮����;ISIS協(xié)議維護(hù)人員少�、廠家設(shè)備支持少�����,整體維護(hù)成本高���,應(yīng)用較少;而OSPF協(xié)議應(yīng)用最為廣泛����,維護(hù)人員多。因此�,在實(shí)際網(wǎng)絡(luò)部署中,通常采用OSPF �。
一個(gè)典型的OSPF 路由設(shè)計(jì)如下:
對(duì)于大型網(wǎng)絡(luò)來(lái)說(shuō),由于規(guī)模大���,業(yè)務(wù)需求豐富�,通常采用EGP協(xié)議�。EGP協(xié)議的可選項(xiàng)只有一個(gè),那就是BGP��,由于其自身的技術(shù)特點(diǎn),特別適合于大型網(wǎng)絡(luò)中需要承載網(wǎng)和業(yè)務(wù)網(wǎng)分離的應(yīng)用���。
一個(gè)典型的多域BGP路由設(shè)計(jì)如下:
業(yè)務(wù)隔離—MPLS VPN設(shè)計(jì)
伴隨企業(yè)和公司的不斷擴(kuò)張���,集團(tuán)化企業(yè)網(wǎng)絡(luò)建設(shè)已經(jīng)由原來(lái)的內(nèi)部局域網(wǎng)發(fā)展成為跨區(qū)域、跨城市的廣域連接�����,隨著承載業(yè)務(wù)的不斷增加和對(duì)業(yè)務(wù)的安全性的要求���,用原有的IP技術(shù)已經(jīng)難以解決����,而MPLS VPN技術(shù)的出現(xiàn)�,使得企業(yè)能夠利用現(xiàn)有廣域網(wǎng)建立自己的虛擬專網(wǎng),形成一網(wǎng)多平面地傳輸平臺(tái)��,使不同的業(yè)務(wù)運(yùn)行在不同的傳輸平面上����,既實(shí)現(xiàn)了業(yè)務(wù)的隔離,又保障了安全,從而滿足企業(yè)自身網(wǎng)絡(luò)應(yīng)用的要求�����。
MPLS VPN技術(shù)介紹
MPLS可以看作是一種面向連接的技術(shù)�,通過(guò)MPLS信令建立好MPLS標(biāo)記交換通道,可以實(shí)現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)中的快速轉(zhuǎn)發(fā)�����;MPLS VPN是一種基于MPLS技術(shù)的IP-VPN��,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)��,簡(jiǎn)化核心路由器的路由選擇方式�����,結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)IP虛擬專用網(wǎng)絡(luò)(IP VPN)���,采用MPLS VPN技術(shù)實(shí)現(xiàn)虛擬路由器和隔離的虛擬轉(zhuǎn)發(fā)表和路由表,把現(xiàn)有的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)���。
在MPLS/BGP VPN的模型中��,網(wǎng)絡(luò)由骨干網(wǎng)和用戶的各個(gè)Site組成�,一個(gè)VPN就對(duì)應(yīng)一個(gè)由若干site組成的集合。屬于同一個(gè)VPN的兩個(gè)用戶之間可以正常訪問(wèn)�,不同VPN之間不能隨意連通。
MPLS VPN在集團(tuán)企業(yè)的應(yīng)用
在企業(yè)內(nèi)部署MPLS VPN��,可以實(shí)現(xiàn)財(cái)務(wù)�����、ERP��、OA和語(yǔ)音視頻系統(tǒng)等業(yè)務(wù)的虛擬專網(wǎng)服務(wù)��,同時(shí)各虛擬專網(wǎng)之間也可以通過(guò)策略�,實(shí)現(xiàn)安全可靠的信息交換。
對(duì)于集團(tuán)化企業(yè)��,可以為各個(gè)下屬企業(yè)提供統(tǒng)一的網(wǎng)絡(luò)平臺(tái)����,通過(guò)MPLS VPN虛擬網(wǎng)絡(luò),將集團(tuán)內(nèi)相互交流的不同業(yè)務(wù)分成不同的轉(zhuǎn)發(fā)平面�,實(shí)現(xiàn)其安全和靈活性。同時(shí)各業(yè)務(wù)系統(tǒng)之間相互獨(dú)立����,以便于各業(yè)務(wù)系統(tǒng)的接入和擴(kuò)展�����。
分層HOPE
由于MPLS/VPN 協(xié)議規(guī)劃是由核心���、邊緣的兩層扁平結(jié)構(gòu)組成,所有設(shè)備都要維護(hù)VPN 的路由信息���,但集團(tuán)企業(yè)廣域網(wǎng)核心�、匯聚����、接入三層組網(wǎng)結(jié)構(gòu)中設(shè)備性能逐層降低的情況,對(duì)數(shù)量眾多的接入節(jié)點(diǎn)設(shè)備的性能提出嚴(yán)峻考驗(yàn)���,如果更換接入設(shè)備檔次滿足組網(wǎng)需求,又會(huì)導(dǎo)致組網(wǎng)成本大幅提升�。
為解決多層接入問(wèn)題,H3C 采用了分層PE 技術(shù)����。分層PE 的結(jié)構(gòu)如下圖所示,直接連結(jié)用戶的設(shè)備稱為下層PE(Underlayer PE 或User-end PE,用戶側(cè)PE)���,簡(jiǎn)寫為UPE�,連結(jié)UPE 并位于網(wǎng)絡(luò)內(nèi)部的設(shè)備稱為上層PE(Superstratum PE 或Sevice Provider-end PE�����,服務(wù)運(yùn)營(yíng)商側(cè)PE)���,簡(jiǎn)寫為SPE�����。這種框架結(jié)構(gòu)稱為PE 的分層結(jié)構(gòu)(Hiberarchy of PE)�����,簡(jiǎn)寫為HoPE�����。
多個(gè)UPE 同SPE 構(gòu)成分層式PE�,它們之間的分工是:
UPE維護(hù)其直接連接的VPN 的路由�,但不維護(hù)VPN 中其它節(jié)點(diǎn)的路由或僅維護(hù)它們的聚合路由���;SPE 維護(hù)其通過(guò)UPE 所連接的節(jié)點(diǎn)所在的VPN 中的所有路由,包括本地和遠(yuǎn)程節(jié)點(diǎn)中的路由�����。
UPE為其直接連接的節(jié)點(diǎn)的路由分配內(nèi)層標(biāo)簽�����,并通過(guò)MP-BGP 隨VPN 路由發(fā)布這個(gè)標(biāo)簽給SPE�����;SPE 不發(fā)布遠(yuǎn)程節(jié)點(diǎn)中的路由給UPE�,而是只發(fā)布VRF 默認(rèn)路由或聚合路由給UPE,并攜帶標(biāo)簽�。
采用分層PE 技術(shù)后,SPE 就成為UPE 設(shè)備的代理�����,更上一級(jí)設(shè)備根本感知不到UPE 的存在���,如果想與UPE 互通只需要與SPE 互通就可以了���,分層PE 技術(shù)減少了骨干和匯聚層設(shè)備上面的路由信息,對(duì)UPE 的處理性能要求大幅降低���,SPE����、UPE 方式還可支持多級(jí)嵌套�,更適合于集團(tuán)企業(yè)逐層連接的網(wǎng)絡(luò)結(jié)構(gòu)。
QoS 設(shè)計(jì)
廣域網(wǎng)的建設(shè)是復(fù)雜的�,源于其自身特點(diǎn)—帶寬瓶頸,如何利用有限的帶寬�,保障實(shí)時(shí)業(yè)務(wù)和關(guān)鍵業(yè)務(wù)的及時(shí)傳輸?QoS技術(shù)得到了廣泛的應(yīng)用�。
目前集團(tuán)化企業(yè)網(wǎng)絡(luò)中主要包括三種業(yè)務(wù)應(yīng)用為語(yǔ)音、數(shù)據(jù)��、視頻����,數(shù)據(jù)又分為關(guān)鍵業(yè)務(wù)和一般應(yīng)用等,這些業(yè)務(wù)對(duì)IP QoS技術(shù)指標(biāo)的要求是不同的����,通過(guò)有效地實(shí)施各項(xiàng)IP QoS技術(shù)�,使得網(wǎng)絡(luò)管理人員能夠有效地控制網(wǎng)絡(luò)資源及其使用����。
IP QoS技術(shù)在設(shè)計(jì)實(shí)施時(shí),首先需要考慮選擇合適的技術(shù)框架��,也即服務(wù)模型��,而由于DiffServ(區(qū)分服務(wù))模式具有處理效率高�,部署和實(shí)施方便的特點(diǎn)被普遍采用。
下面的網(wǎng)絡(luò)模型為一個(gè)基本的DiffServ 體系架構(gòu)模型:
Diffserv體系架構(gòu)一般分為兩個(gè)層次��,接入���、骨干���,骨干區(qū)域可為IP或MPLS 轉(zhuǎn)發(fā)。按照端到端的部署原則�����,分別在下列管理區(qū)域:接入網(wǎng)絡(luò)���、接入網(wǎng)絡(luò)邊緣�、骨干網(wǎng)絡(luò)邊緣����、骨干網(wǎng)絡(luò)分別部署QoS策略。
對(duì)上述的網(wǎng)絡(luò)模型實(shí)施IP QoS��,一般都包括以下6個(gè)步驟:
識(shí)別業(yè)務(wù)中的關(guān)鍵應(yīng)用����,對(duì)關(guān)鍵應(yīng)用進(jìn)行分類。在對(duì)應(yīng)用分類前�,必須明確這些關(guān)鍵應(yīng)用對(duì)時(shí)延、丟包率����、抖動(dòng)的要求、應(yīng)用的屬性或性能要求以及所使用的傳輸層協(xié)議棧��;
標(biāo)記���,為不同的業(yè)務(wù)數(shù)據(jù)流設(shè)置DSCP/IP Precedence優(yōu)先級(jí)標(biāo)記�;
為每一類業(yè)務(wù)或應(yīng)用定義QoS監(jiān)管策略�。根據(jù)業(yè)務(wù)數(shù)據(jù)流的分類和標(biāo)記信息,為不同的業(yè)務(wù)數(shù)據(jù)流分配網(wǎng)絡(luò)帶寬(包括最小帶寬����、最大帶寬���、突發(fā)速率等);
擁塞管理(Queuing):對(duì)輸出的業(yè)務(wù)數(shù)據(jù)流進(jìn)行排隊(duì)��,以實(shí)現(xiàn)關(guān)鍵業(yè)務(wù)的優(yōu)先傳輸���;
擁塞避免(WRED):通過(guò)丟棄低優(yōu)先級(jí)數(shù)據(jù)包來(lái)解決網(wǎng)絡(luò)擁塞�����;
根據(jù)網(wǎng)絡(luò)中的業(yè)務(wù)流量����,監(jiān)控關(guān)鍵應(yīng)用的時(shí)延�����、抖動(dòng)和丟包率����,并實(shí)時(shí)調(diào)整QoS策略以保證應(yīng)用性能。
MPLS DiffServ
對(duì)于MPLS網(wǎng)絡(luò)也可以通過(guò)DiffServ實(shí)現(xiàn),在保證網(wǎng)絡(luò)高利用率的同時(shí)����,可以根據(jù)不同VPN的EXP優(yōu)先級(jí)實(shí)現(xiàn)差別服務(wù),從而為語(yǔ)音���、視頻等數(shù)據(jù)流提供有帶寬保證的低延時(shí)、低丟包率的服務(wù)�����。
DiffServ的基本機(jī)制是在網(wǎng)絡(luò)邊緣�����,根據(jù)業(yè)務(wù)的服務(wù)質(zhì)量要求將該業(yè)務(wù)映射到一定的業(yè)務(wù)類別中�����,利用IP分組中的DS字段(由TOS域而來(lái))唯一標(biāo)記該類業(yè)務(wù)�����,然后�,骨干網(wǎng)絡(luò)中的各節(jié)點(diǎn)根據(jù)該字段對(duì)各種業(yè)務(wù)采取預(yù)先設(shè)定的服務(wù)策略,保證相應(yīng)的服務(wù)質(zhì)量。
基于MPLS的DiffServ就是通過(guò)將DS的分配與MPLS的標(biāo)簽分配過(guò)程結(jié)合來(lái)實(shí)現(xiàn)的���。MPLS DiffServ在RFC3270定義�,要求通過(guò)MPLS包頭中的EXP值攜帶DiffServ PHB���,標(biāo)簽交換路由器(LSR)在做出轉(zhuǎn)發(fā)決策時(shí)要考慮MPLS EXP值��。
安全設(shè)計(jì)
隨著網(wǎng)絡(luò)技術(shù)的普及�����,網(wǎng)絡(luò)攻擊行為出現(xiàn)得越來(lái)越頻繁�����。通過(guò)各種攻擊軟件�����,只要具有一般計(jì)算機(jī)常識(shí)的初學(xué)者也能完成對(duì)網(wǎng)絡(luò)的攻擊����。各種網(wǎng)絡(luò)病毒的泛濫��,也加劇了網(wǎng)絡(luò)被攻擊的危險(xiǎn)。
集團(tuán)化企業(yè)的網(wǎng)絡(luò)更加龐大�,而且Internet的出口多,造成網(wǎng)絡(luò)的安全隱患多�;同時(shí)各分支機(jī)構(gòu)的系統(tǒng)復(fù)雜性,又造成安全問(wèn)題糾纏不清�����,一點(diǎn)出現(xiàn)問(wèn)題�����,全網(wǎng)受影響�,而且排除困難���。那么如何保障網(wǎng)絡(luò)的安全呢��?
網(wǎng)絡(luò)的安全應(yīng)從整體上考慮�����,首先需要將安全層次分清�,將不同的區(qū)域劃分成不同的安全區(qū)域進(jìn)行保護(hù)���,如數(shù)據(jù)中心區(qū)域�����,外部連接區(qū)域(Internet出口��、分支機(jī)構(gòu)連接)�,重要部門(財(cái)務(wù)部門等);然后考慮每個(gè)區(qū)域的接入安全�����,如終端安全等��。這樣就形成全方位的安全防護(hù)���。
區(qū)域間防護(hù)—H3C IPS+Firewall組合式解決方案
隨著IT技術(shù)的發(fā)展�,安全模型逐漸改變�,單一防火墻的安全模型已不能滿足用戶的需求,應(yīng)用層的安全攻擊能夠輕易穿透防火墻��,形成新的隱患�����,給企業(yè)的信息系統(tǒng)造成損失。
針對(duì)防火墻的不足�����,需要有新的安全設(shè)備與之配合�����,這就是IPS―入侵防御系統(tǒng)���,可以這么解釋IPS在網(wǎng)絡(luò)安全上的重要性����,將一個(gè)需要保護(hù)的網(wǎng)絡(luò)比作一間密封的大屋子�����,傳統(tǒng)的防火墻相當(dāng)于在屋子的墻上開了幾個(gè)窗口�����,讓空氣和光線可以進(jìn)來(lái)��,而IPS相當(dāng)于給這些窗口裝上紗窗�����、玻璃和窗簾��,以擋風(fēng)遮雨�,同時(shí)防范蒼蠅、蚊子���、灰塵等進(jìn)入屋子�。
通過(guò)IPS+Firewall組合�,將網(wǎng)絡(luò)安全分層防護(hù),防火墻負(fù)責(zé)四層以下的防護(hù)�����,IPS負(fù)責(zé)四層以上的防護(hù)��,IPS和Firewall互相配合����,形成區(qū)域安全邊界,保護(hù)企業(yè)重要出入口的安全��。
區(qū)域內(nèi)防護(hù)—H3C EAD終端準(zhǔn)入防護(hù)解決方案
客戶端的保護(hù)�����,對(duì)于任何企業(yè)來(lái)說(shuō)是一個(gè)非常困難的事,集團(tuán)化企業(yè)計(jì)算機(jī)普及率廣���,數(shù)量大����,終端一旦染毒�����,就成為一個(gè)攻擊點(diǎn)�����,再加上大多數(shù)從業(yè)者的計(jì)算機(jī)水平普遍不高���,這就造成終端的安全防護(hù)不夠,木馬程序肆意泛濫��,成為企業(yè)最為頭疼的問(wèn)題。如何管理終端?如何保護(hù)終端不受侵害�?
據(jù)權(quán)威機(jī)構(gòu)對(duì)用戶的調(diào)查分析�����,大多安全問(wèn)題主要集中在病毒和系統(tǒng)自身漏洞方面,H3C公司依據(jù)多年的經(jīng)驗(yàn)和先進(jìn)的網(wǎng)絡(luò)技術(shù)���,結(jié)合用戶的需求�����,推出EAD端點(diǎn)準(zhǔn)入防御系統(tǒng)����,配合交換機(jī)�����、路由器和安全設(shè)備�����,徹底保護(hù)網(wǎng)絡(luò)安全��。
根據(jù)集團(tuán)化企業(yè)逐級(jí)部署的特點(diǎn)��,為了保護(hù)集團(tuán)內(nèi)所有終端的安全�, H3C推出了分級(jí)部署方案�����,具體部署如下所示:
每一個(gè)區(qū)域一臺(tái)策略服務(wù)器����,不同層次有不同的級(jí)別�����,從上到下安全策略逐級(jí)包含�,但每一個(gè)區(qū)域又相互獨(dú)立,形成單獨(dú)的EAD系統(tǒng)����,應(yīng)用符合自身特點(diǎn)的安全策略。在每個(gè)區(qū)域內(nèi)EAD系統(tǒng)部署如下圖所示:
EAD在用戶接入網(wǎng)絡(luò)前���,強(qiáng)制檢查用戶終端的安全狀態(tài)�����,并根據(jù)對(duì)用戶終端安全狀態(tài)的檢查結(jié)果,強(qiáng)制實(shí)施用戶接入控制策略��,對(duì)不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進(jìn)行“隔離”并強(qiáng)制用戶進(jìn)行病毒庫(kù)升級(jí)、系統(tǒng)補(bǔ)丁安裝等操作����;在保證用戶終端具備自防御能力并安全接入的前提下,合理控制用戶的網(wǎng)絡(luò)行為���,提升整網(wǎng)的安全防御能力��。
IMC智能管理
通常���,集團(tuán)化廣域網(wǎng)的建設(shè)涉及地域廣,各種網(wǎng)絡(luò)設(shè)備眾多��,如何將分布在各個(gè)區(qū)域的眾多網(wǎng)絡(luò)設(shè)備有效的管理起來(lái)����,成為每一個(gè)網(wǎng)絡(luò)設(shè)計(jì)者和管理者不得不考慮的問(wèn)題。
H3C公司推出的網(wǎng)絡(luò)智能管理中心(iMC)基于SOA開放式框架�,將網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)業(yè)務(wù)有機(jī)的整合起來(lái)��,實(shí)現(xiàn)網(wǎng)絡(luò)的運(yùn)營(yíng)和管理從“網(wǎng)絡(luò)資源運(yùn)營(yíng)”向“信息服務(wù)和流程服務(wù)”����、從“粗放的規(guī)模運(yùn)營(yíng)和管理”向“精確管理和精益運(yùn)營(yíng)”轉(zhuǎn)變���。
全面的基礎(chǔ)網(wǎng)絡(luò)資源管理
iMC可以對(duì)全網(wǎng)資源進(jìn)行統(tǒng)一部署、管理和調(diào)配�,除了能夠有效的對(duì)各種主流廠商的路由器、交換機(jī)���、安全���、無(wú)線、語(yǔ)音等傳統(tǒng)網(wǎng)絡(luò)資源進(jìn)行管理之外����,還可以對(duì)存儲(chǔ)、服務(wù)器����、PC、UPS等設(shè)備類型進(jìn)行管理���,實(shí)現(xiàn)了故障����、性能、拓?fù)?��、配置等管理?nèi)容,成為業(yè)務(wù)融合聯(lián)動(dòng)的基礎(chǔ)�。
在廣域網(wǎng)方面,其拓?fù)涔δ芘c故障管理和性能管理緊密融合��,使拓?fù)鋱D能夠清晰地看到企業(yè)IT資源的狀態(tài)�,包括運(yùn)行是否正常、網(wǎng)絡(luò)帶寬�、接口連通、配置變化都能一目了然�����。配合ACL管理�����、QoS管理等多種功能��,靈活配置�,實(shí)現(xiàn)輕松管理。
網(wǎng)絡(luò)資源和用戶的統(tǒng)一管理
iMC在對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行管理的基礎(chǔ)上���,將網(wǎng)絡(luò)用戶一同納入管理范疇�����,從網(wǎng)絡(luò)拓?fù)鋱D上即可以了解到有哪些用戶通過(guò)哪些網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)��,每個(gè)用戶的上網(wǎng)行為和安全狀態(tài)都可以實(shí)時(shí)得到監(jiān)控和審計(jì)����。而且通過(guò)故障根源分析、SLA分析等基于規(guī)則和策略的深度分析���,直觀展示網(wǎng)絡(luò)運(yùn)行狀態(tài)���,快速定位故障源,協(xié)助優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)����;通過(guò)流量異常檢測(cè)、網(wǎng)絡(luò)安全事件的集中管理和基于資源管理平臺(tái)的協(xié)同響應(yīng)��,提高風(fēng)險(xiǎn)識(shí)別的準(zhǔn)確度����、快速響應(yīng)安全威脅��。
iMC可以支持LAN���、WAN、WLAN����、VPN等方式的用戶認(rèn)證接入����,實(shí)現(xiàn)接入業(yè)務(wù)的統(tǒng)一、集中管理���;同時(shí)支持智能卡��、證書等強(qiáng)認(rèn)證功能���,支持多種方式的端點(diǎn)準(zhǔn)入控制和基于身份的網(wǎng)絡(luò)服務(wù),實(shí)現(xiàn)用戶與資源和業(yè)務(wù)的融合管理���。
集團(tuán)企業(yè)網(wǎng)MPLS VPN管理
基于集團(tuán)化企業(yè)廣域網(wǎng)建設(shè)的MPLS VPN虛擬專網(wǎng)�����,解決了企業(yè)當(dāng)前紛雜不清的業(yè)務(wù)系統(tǒng)之間傳輸層面上的相互影響����,使每個(gè)業(yè)務(wù)系統(tǒng)運(yùn)行在不同的網(wǎng)絡(luò)平臺(tái)上。然而���,MPLS VPN涉及技術(shù)多而復(fù)雜�,增加了網(wǎng)絡(luò)運(yùn)營(yíng)����、部署、監(jiān)控�、維護(hù)等方面的難度。
H3C公司的管理解決方案“MPLS VPN Manager”是基于H3C智能管理中心開發(fā)的���,采用業(yè)界標(biāo)準(zhǔn)的SOA架構(gòu)�����,提供融合的資源管理�����,重整業(yè)務(wù)流程��,實(shí)現(xiàn)MPLS VPN業(yè)務(wù)整個(gè)生命周期(規(guī)劃���、部署��、監(jiān)視���、審計(jì)、優(yōu)化�、重構(gòu))的全流程管理���。主要完成如下功能:
對(duì)MPLS VPN網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行規(guī)劃��、部署以及已有業(yè)務(wù)的自動(dòng)還原��;
對(duì)MPLS VPN網(wǎng)絡(luò)資源進(jìn)行管理����,提供對(duì)VPN網(wǎng)絡(luò)的配置優(yōu)化�;
對(duì)MPLS VPN網(wǎng)絡(luò)性能進(jìn)行監(jiān)控和故障關(guān)聯(lián)分析;
對(duì)MPLS VPN網(wǎng)絡(luò)配置進(jìn)行變更審計(jì)�;
對(duì)MPLS VPN網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行端到端的連通性測(cè)試。
集團(tuán)化企業(yè)發(fā)展展望
發(fā)揮集團(tuán)化優(yōu)勢(shì)�,提高整體競(jìng)爭(zhēng)力����,是集團(tuán)化企業(yè)發(fā)展的初衷��。H3C長(zhǎng)期致力于企業(yè)IT領(lǐng)域的建設(shè)��,努力發(fā)揮自身在IT技術(shù)前沿的優(yōu)勢(shì)�����,為企業(yè)信息化構(gòu)建良好地網(wǎng)絡(luò)環(huán)境��。同時(shí)H3C作為企業(yè)的一分子���,切身體會(huì)企業(yè)建網(wǎng)的困惑���,借助自身發(fā)展的經(jīng)驗(yàn)和教訓(xùn),在信息化建設(shè)的進(jìn)程中���,與廣大企業(yè)攜手共進(jìn)���,實(shí)現(xiàn)雙贏。
服務(wù)咨詢電話:
0531-82393086
