回顧中國企業(yè)的發(fā)展歷程�����,從無到有,從小到大的每一步的發(fā)展��,所帶來的競爭力增強�����,給剛剛進入WTO的中國企業(yè)帶來了巨大的改變����。
推進特色產(chǎn)業(yè)“集群化”發(fā)展,加快優(yōu)勢企業(yè)“集團化”建設(shè)�,是國家一直倡導(dǎo)的,為了迎接全球競爭所帶來的壓力�����,國內(nèi)企業(yè)紛紛組建集團,將優(yōu)勢企業(yè)強強聯(lián)合����,形成集團優(yōu)勢,提升整體競爭力�。
集團化的發(fā)展帶來了競爭力的提高���,同時也帶來了體制和管理方面的變革�����,為了促進集團化戰(zhàn)略的發(fā)展��,各個企業(yè)利用先進的技術(shù)作為基礎(chǔ)�����,建設(shè)集團骨干網(wǎng)��,連接下屬企業(yè)��,形成有效地溝通平臺�����,保障企業(yè)的快速發(fā)展�����。
廣域網(wǎng)建設(shè)需求分析
集團化企業(yè)內(nèi)各個下屬單位分布分散���,常常造成協(xié)調(diào)不一致�,溝通不暢�,管理不到位的情況,這對于一個企業(yè)來說�,是不能忍受的,如何保障信息通暢��,保障有效的管理��,一個連接各個下屬公司的網(wǎng)絡(luò)平臺��,成為溝通的有效途徑�;但如此一張大網(wǎng)如何進行建設(shè)和管理,就成了急需解決的問題�。
集團化公司在成立初期,自身網(wǎng)絡(luò)已初具規(guī)模�,但下屬公司之間差別很大����,技術(shù)力量也參差不齊�����,就需要在網(wǎng)絡(luò)規(guī)劃初期周密考慮�����。
網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計:一個好的網(wǎng)絡(luò)結(jié)構(gòu)是關(guān)系到網(wǎng)絡(luò)的整體可靠性的問題����,對于集團化運作的企業(yè)��,業(yè)務(wù)系統(tǒng)需要不間斷的運行�����,如何使網(wǎng)絡(luò)更加可靠����,就需要一個可靠的網(wǎng)絡(luò)結(jié)構(gòu)作為保障。
IP地址的重疊問題:一般企業(yè)的局域網(wǎng)建設(shè)都早于廣域網(wǎng)�����,IP地址的規(guī)劃也各自為政,由于單位眾多����,往往IP地址重疊嚴重,因此需要統(tǒng)一規(guī)劃IP地址或采用其他技術(shù)解決地址重疊���。
路由規(guī)劃:路由規(guī)劃的好壞直接影響到日后企業(yè)不斷擴張和業(yè)務(wù)的要求����,因此對于大型集團企業(yè)����,前期路由的規(guī)劃應(yīng)考慮到日后企業(yè)擴張的需求。
QoS的考慮:對于網(wǎng)絡(luò)來說廣域網(wǎng)的鏈路帶寬永遠小于局域網(wǎng)的接入帶寬���,數(shù)據(jù)流傳輸類似于城市交通�,總會出現(xiàn)擁堵的情況�,如何解決實時數(shù)據(jù)和關(guān)鍵業(yè)務(wù)的流量順利傳輸,需要在規(guī)劃中將業(yè)務(wù)進行分類和設(shè)計��。
業(yè)務(wù)隔離考慮:對于集團化運作的企業(yè)��,各種業(yè)務(wù)之間混雜在一起,相互影響��,特別是在廣域網(wǎng)中����,需要對業(yè)務(wù)進行有效的隔離,以提高業(yè)務(wù)運轉(zhuǎn)的高效率��。
網(wǎng)絡(luò)安全考慮:集團網(wǎng)絡(luò)規(guī)模龐大�����,安全系數(shù)低��,一點點小的漏洞���,就會造成整體網(wǎng)絡(luò)癱瘓,在現(xiàn)今企業(yè)����,業(yè)務(wù)對網(wǎng)絡(luò)的依賴程度越來越深,安全的防護也越來越重要�。
管理的考慮:大型網(wǎng)絡(luò)的管理是一個復(fù)雜的系統(tǒng)工程,簡單的人工管理�,只會造成網(wǎng)絡(luò)進一步混亂�����,維護成本越來越高�,如何降低總擁有成本TCO�����,智能化管理是集團企業(yè)必不可少的有效工具�����。
集團化廣域網(wǎng)解決方案
集團化企業(yè)信息系統(tǒng)的發(fā)展�����,對基礎(chǔ)網(wǎng)絡(luò)的依賴程度越來越高���,保障其各個業(yè)務(wù)系統(tǒng)穩(wěn)定���、高效的運行。這就需要一個可靠����、安全����、高效��、集成的網(wǎng)絡(luò)平臺來承載其業(yè)務(wù)的應(yīng)用����。 H3C在基于對企業(yè)的充分理解的基礎(chǔ)上,結(jié)合未來發(fā)展的可控網(wǎng)絡(luò)的思想���,為集團化企業(yè)設(shè)計了廣域網(wǎng)的解決方案����。
一個典型的集團化企業(yè)三級廣域網(wǎng)拓撲圖如下:
集團化企業(yè)的廣域網(wǎng)建設(shè)主要是符合業(yè)務(wù)系統(tǒng)的需要���。目前數(shù)據(jù)大集中��、語音�、視頻的應(yīng)用�����,對廣域網(wǎng)提出了更高的要求��,考慮到這些要求和用戶對網(wǎng)絡(luò)可靠性的需要����,建議采用雙設(shè)備、雙鏈路的方式進行組網(wǎng)�����,實現(xiàn)一個安全��、可靠�、多業(yè)務(wù)承載的網(wǎng)絡(luò)平臺。
網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計
網(wǎng)絡(luò)結(jié)構(gòu)分為星形��、網(wǎng)狀�、環(huán)形、混合等多種不同拓撲�,每種拓撲都有不同的可靠性,投資也各不相同�����,對于集團化企業(yè)來說��,由于規(guī)模龐大,下屬分支節(jié)點多���,多采用雙星形網(wǎng)絡(luò)拓撲結(jié)構(gòu)����,
如圖所示�����,雙星形的網(wǎng)絡(luò)拓撲結(jié)構(gòu)實際是主備兩套網(wǎng)絡(luò)平臺同時在線�����,當(dāng)一點出現(xiàn)故障��,可利用另一網(wǎng)絡(luò)平臺進行數(shù)據(jù)傳輸�����,實現(xiàn)業(yè)務(wù)不中斷的運行�����。
雙星形拓撲具有以下特點
可靠性高:采用兩個核心節(jié)點的雙連接星形網(wǎng)絡(luò)結(jié)構(gòu)�����,使得網(wǎng)絡(luò)具有可靠性����、可用性及安全性,避免了單點失效的隱患����。
支持流量的負載分擔(dān):網(wǎng)絡(luò)流量可能隨著多種業(yè)務(wù)的發(fā)展日益壯大(如語音,視頻會議)�,網(wǎng)絡(luò)流量的負載分擔(dān)問題將會成為網(wǎng)絡(luò)可用性的主要因素,采用雙連接的網(wǎng)絡(luò)結(jié)構(gòu)�����,使得網(wǎng)絡(luò)的流量能夠比較合理的分布在各條鏈路上��。
支持網(wǎng)絡(luò)的冗余備份:核心節(jié)點采用兩臺高性能的網(wǎng)絡(luò)設(shè)備����,使得核心層具有較好的冗余備份能力。同時�����,兩臺核心設(shè)備之間要采用高速鏈路互連,提供了核心設(shè)備間的高速互連帶寬�����,避免兩臺設(shè)備之間形成傳輸瓶頸�。
解決IP地址重疊
IP地址的重疊有其自身原因,也有大多企業(yè)信息化從局部開始����,向集團整體發(fā)展的問題,這是企業(yè)自下向上發(fā)展的模式所造成的���。在集團廣域網(wǎng)建設(shè)初期�����,如何解決IP地址沖突的問題�����?就成了企業(yè)信息化進程中必須解決的首要問題�����。
企業(yè)IP地址的選擇大多采用私網(wǎng)地址���,由于私網(wǎng)地址的數(shù)量有限�����,經(jīng)常會造成不同企業(yè)選擇相同地址段的IP,那么解決之道主要有以下兩種方式:
先期不改變現(xiàn)有地址�����,采用NAT方式解決地址重疊���,再逐步更改IP地址���。這樣的優(yōu)勢是集團企業(yè)網(wǎng)絡(luò)改造的范圍不大,影響小���,能夠盡快實現(xiàn)廣域網(wǎng)連接���;劣勢是在未完全更改完IP地址前,網(wǎng)絡(luò)管理復(fù)雜��,維護難度大�,對于其他業(yè)務(wù)應(yīng)用有很大的影響�。
改變現(xiàn)有地址�,杜絕IP地址重疊。利用集團總公司的行政權(quán)力��,重新規(guī)劃IP地址�����,所有下屬企業(yè)按新的地址重新配置�����,徹底杜絕IP地址沖突�����。這樣的優(yōu)勢是管理簡單��,易維護���,對日后的業(yè)務(wù)支持好���;劣勢是影響范圍大,IP地址改造時間長�����。
綜上所述,根據(jù)企業(yè)的不同情況和環(huán)境靈活選擇����,最終將以前不合理的IP地址重疊問題徹底杜絕,為企業(yè)日后信息化的發(fā)展鋪平道路����。
路由設(shè)計
對大型企業(yè)網(wǎng)絡(luò)來說�,選擇一個合適的路由協(xié)議是非常重要的,不恰當(dāng)?shù)倪x擇有時對網(wǎng)絡(luò)是致命的�����。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展��,網(wǎng)絡(luò)規(guī)模越來越大�,網(wǎng)絡(luò)上的業(yè)務(wù)類型也越來越多,其中最主要的兩大類應(yīng)用是:基于組播技術(shù)(包括VOD點播�����、遠程培訓(xùn)��、實時視/音頻會議等)和基于MPLS技術(shù)(包括L3 VPN、L2 VPN��、VPLS��、VPWS�、TE等)。無論是組播技術(shù)還是MPLS技術(shù)都緊密依賴于路由技術(shù)�,路由設(shè)計的結(jié)果直接影響這兩大類業(yè)務(wù)的實際效果,因此路由協(xié)議的選擇��、路由的部署就顯得尤其重要�����。
動態(tài)路由協(xié)議是集團化廣域網(wǎng)建設(shè)的首選���,根據(jù)作用的范圍�����,分為內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol�����,簡稱IGP)和外部網(wǎng)關(guān)協(xié)議(Exterior Gateway Protocol�����,簡稱EGP)���,其中IGP協(xié)議包括RIP�、OSPF和IS-IS等���,EGP協(xié)議目前只有BGP�����,而如何選擇路由協(xié)議,其主要跟以下原因有關(guān)�。
路由協(xié)議的開放性:開放性的路由協(xié)議保證了不同廠商都能對本路由協(xié)議進行支持,這不僅保證了目前網(wǎng)絡(luò)的互通性���,而且保證了將來網(wǎng)絡(luò)發(fā)展的擴充能力和選擇空間�。
網(wǎng)絡(luò)的拓撲結(jié)構(gòu):網(wǎng)絡(luò)拓撲結(jié)構(gòu)直接影響協(xié)議的選擇��。例如RIP這樣比較簡單的路由協(xié)議不支持分層次的路由信息計算�����,對復(fù)雜網(wǎng)絡(luò)的適應(yīng)能力較弱。路由協(xié)議還必須支持網(wǎng)絡(luò)拓撲的變化���,在拓撲發(fā)生變化時�����,無論是對網(wǎng)絡(luò)中的路由本身����,還是網(wǎng)絡(luò)設(shè)備的管理都要保證影響最小��。
網(wǎng)絡(luò)節(jié)點數(shù)量:不同的協(xié)議對于網(wǎng)絡(luò)規(guī)模的支持能力有所不同�,需要按需求適當(dāng)選擇,有時還需要采用一些特殊技術(shù)解決適應(yīng)網(wǎng)絡(luò)規(guī)模方面的擴展性問題����。
與其他網(wǎng)絡(luò)的互連要求:通過劃分成相對獨立管理的網(wǎng)絡(luò)區(qū)域,可以減少網(wǎng)絡(luò)間的相關(guān)性���,有利于網(wǎng)絡(luò)的擴展���,路由協(xié)議要能支持減少網(wǎng)絡(luò)間的相關(guān)性(通常劃分為一個自治系統(tǒng)(AS)),在AS之間需要采用適當(dāng)?shù)膮^(qū)域間路由協(xié)議。必要時還要考慮路由信息安全因素和對路由交換的限制管理
管理和安全上的要求:通常要求在可以滿足功能需求的情況下盡可能簡化管理��。但有時為了實現(xiàn)比較完善的管理功能或為了滿足安全的需要����,例如對路由的傳播和選用提出一些人為的要求,就需要路由協(xié)議對策略的支持�。
對于中小型網(wǎng)絡(luò)來說,采用IGP協(xié)議較多���,這有力于維護和管理���。其中RIP協(xié)議由于收斂時間慢、不支持分層��、擴展性差等先天缺陷除了極個別的應(yīng)用場合�����,通常不應(yīng)被考慮��;ISIS協(xié)議維護人員少����、廠家設(shè)備支持少,整體維護成本高��,應(yīng)用較少�;而OSPF協(xié)議應(yīng)用最為廣泛,維護人員多���。因此��,在實際網(wǎng)絡(luò)部署中�����,通常采用OSPF ����。
一個典型的OSPF 路由設(shè)計如下:
對于大型網(wǎng)絡(luò)來說���,由于規(guī)模大�����,業(yè)務(wù)需求豐富���,通常采用EGP協(xié)議�����。EGP協(xié)議的可選項只有一個�����,那就是BGP����,由于其自身的技術(shù)特點����,特別適合于大型網(wǎng)絡(luò)中需要承載網(wǎng)和業(yè)務(wù)網(wǎng)分離的應(yīng)用。
一個典型的多域BGP路由設(shè)計如下:
業(yè)務(wù)隔離—MPLS VPN設(shè)計
伴隨企業(yè)和公司的不斷擴張���,集團化企業(yè)網(wǎng)絡(luò)建設(shè)已經(jīng)由原來的內(nèi)部局域網(wǎng)發(fā)展成為跨區(qū)域���、跨城市的廣域連接,隨著承載業(yè)務(wù)的不斷增加和對業(yè)務(wù)的安全性的要求�,用原有的IP技術(shù)已經(jīng)難以解決,而MPLS VPN技術(shù)的出現(xiàn)��,使得企業(yè)能夠利用現(xiàn)有廣域網(wǎng)建立自己的虛擬專網(wǎng)��,形成一網(wǎng)多平面地傳輸平臺�����,使不同的業(yè)務(wù)運行在不同的傳輸平面上�,既實現(xiàn)了業(yè)務(wù)的隔離,又保障了安全���,從而滿足企業(yè)自身網(wǎng)絡(luò)應(yīng)用的要求����。
MPLS VPN技術(shù)介紹
MPLS可以看作是一種面向連接的技術(shù)����,通過MPLS信令建立好MPLS標(biāo)記交換通道,可以實現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)中的快速轉(zhuǎn)發(fā)����;MPLS VPN是一種基于MPLS技術(shù)的IP-VPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù)���,簡化核心路由器的路由選擇方式�,結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)IP虛擬專用網(wǎng)絡(luò)(IP VPN)��,采用MPLS VPN技術(shù)實現(xiàn)虛擬路由器和隔離的虛擬轉(zhuǎn)發(fā)表和路由表,把現(xiàn)有的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)�。
在MPLS/BGP VPN的模型中,網(wǎng)絡(luò)由骨干網(wǎng)和用戶的各個Site組成�,一個VPN就對應(yīng)一個由若干site組成的集合。屬于同一個VPN的兩個用戶之間可以正常訪問�����,不同VPN之間不能隨意連通����。
MPLS VPN在集團企業(yè)的應(yīng)用
在企業(yè)內(nèi)部署MPLS VPN,可以實現(xiàn)財務(wù)��、ERP���、OA和語音視頻系統(tǒng)等業(yè)務(wù)的虛擬專網(wǎng)服務(wù)�,同時各虛擬專網(wǎng)之間也可以通過策略��,實現(xiàn)安全可靠的信息交換�����。
對于集團化企業(yè)����,可以為各個下屬企業(yè)提供統(tǒng)一的網(wǎng)絡(luò)平臺,通過MPLS VPN虛擬網(wǎng)絡(luò)���,將集團內(nèi)相互交流的不同業(yè)務(wù)分成不同的轉(zhuǎn)發(fā)平面�,實現(xiàn)其安全和靈活性��。同時各業(yè)務(wù)系統(tǒng)之間相互獨立�,以便于各業(yè)務(wù)系統(tǒng)的接入和擴展。
分層HOPE
由于MPLS/VPN 協(xié)議規(guī)劃是由核心�、邊緣的兩層扁平結(jié)構(gòu)組成,所有設(shè)備都要維護VPN 的路由信息�����,但集團企業(yè)廣域網(wǎng)核心����、匯聚、接入三層組網(wǎng)結(jié)構(gòu)中設(shè)備性能逐層降低的情況�,對數(shù)量眾多的接入節(jié)點設(shè)備的性能提出嚴峻考驗,如果更換接入設(shè)備檔次滿足組網(wǎng)需求����,又會導(dǎo)致組網(wǎng)成本大幅提升���。
為解決多層接入問題,H3C 采用了分層PE 技術(shù)�。分層PE 的結(jié)構(gòu)如下圖所示,直接連結(jié)用戶的設(shè)備稱為下層PE(Underlayer PE 或User-end PE�,用戶側(cè)PE),簡寫為UPE�,連結(jié)UPE 并位于網(wǎng)絡(luò)內(nèi)部的設(shè)備稱為上層PE(Superstratum PE 或Sevice Provider-end PE,服務(wù)運營商側(cè)PE)����,簡寫為SPE。這種框架結(jié)構(gòu)稱為PE 的分層結(jié)構(gòu)(Hiberarchy of PE)�����,簡寫為HoPE��。
多個UPE 同SPE 構(gòu)成分層式PE����,它們之間的分工是:
UPE維護其直接連接的VPN 的路由,但不維護VPN 中其它節(jié)點的路由或僅維護它們的聚合路由���;SPE 維護其通過UPE 所連接的節(jié)點所在的VPN 中的所有路由��,包括本地和遠程節(jié)點中的路由����。
UPE為其直接連接的節(jié)點的路由分配內(nèi)層標(biāo)簽,并通過MP-BGP 隨VPN 路由發(fā)布這個標(biāo)簽給SPE��;SPE 不發(fā)布遠程節(jié)點中的路由給UPE�����,而是只發(fā)布VRF 默認路由或聚合路由給UPE�,并攜帶標(biāo)簽����。
采用分層PE 技術(shù)后,SPE 就成為UPE 設(shè)備的代理��,更上一級設(shè)備根本感知不到UPE 的存在���,如果想與UPE 互通只需要與SPE 互通就可以了�����,分層PE 技術(shù)減少了骨干和匯聚層設(shè)備上面的路由信息��,對UPE 的處理性能要求大幅降低����,SPE、UPE 方式還可支持多級嵌套�,更適合于集團企業(yè)逐層連接的網(wǎng)絡(luò)結(jié)構(gòu)。
QoS 設(shè)計
廣域網(wǎng)的建設(shè)是復(fù)雜的�,源于其自身特點—帶寬瓶頸,如何利用有限的帶寬��,保障實時業(yè)務(wù)和關(guān)鍵業(yè)務(wù)的及時傳輸�����?QoS技術(shù)得到了廣泛的應(yīng)用�����。
目前集團化企業(yè)網(wǎng)絡(luò)中主要包括三種業(yè)務(wù)應(yīng)用為語音����、數(shù)據(jù)、視頻����,數(shù)據(jù)又分為關(guān)鍵業(yè)務(wù)和一般應(yīng)用等�����,這些業(yè)務(wù)對IP QoS技術(shù)指標(biāo)的要求是不同的��,通過有效地實施各項IP QoS技術(shù)��,使得網(wǎng)絡(luò)管理人員能夠有效地控制網(wǎng)絡(luò)資源及其使用���。
IP QoS技術(shù)在設(shè)計實施時��,首先需要考慮選擇合適的技術(shù)框架�,也即服務(wù)模型,而由于DiffServ(區(qū)分服務(wù))模式具有處理效率高�,部署和實施方便的特點被普遍采用。
下面的網(wǎng)絡(luò)模型為一個基本的DiffServ 體系架構(gòu)模型:
Diffserv體系架構(gòu)一般分為兩個層次����,接入、骨干��,骨干區(qū)域可為IP或MPLS 轉(zhuǎn)發(fā)�。按照端到端的部署原則,分別在下列管理區(qū)域:接入網(wǎng)絡(luò)、接入網(wǎng)絡(luò)邊緣���、骨干網(wǎng)絡(luò)邊緣��、骨干網(wǎng)絡(luò)分別部署QoS策略�。
對上述的網(wǎng)絡(luò)模型實施IP QoS����,一般都包括以下6個步驟:
識別業(yè)務(wù)中的關(guān)鍵應(yīng)用,對關(guān)鍵應(yīng)用進行分類���。在對應(yīng)用分類前��,必須明確這些關(guān)鍵應(yīng)用對時延��、丟包率��、抖動的要求�����、應(yīng)用的屬性或性能要求以及所使用的傳輸層協(xié)議棧����;
標(biāo)記,為不同的業(yè)務(wù)數(shù)據(jù)流設(shè)置DSCP/IP Precedence優(yōu)先級標(biāo)記�;
為每一類業(yè)務(wù)或應(yīng)用定義QoS監(jiān)管策略。根據(jù)業(yè)務(wù)數(shù)據(jù)流的分類和標(biāo)記信息���,為不同的業(yè)務(wù)數(shù)據(jù)流分配網(wǎng)絡(luò)帶寬(包括最小帶寬�、最大帶寬����、突發(fā)速率等);
擁塞管理(Queuing):對輸出的業(yè)務(wù)數(shù)據(jù)流進行排隊�����,以實現(xiàn)關(guān)鍵業(yè)務(wù)的優(yōu)先傳輸�����;
擁塞避免(WRED):通過丟棄低優(yōu)先級數(shù)據(jù)包來解決網(wǎng)絡(luò)擁塞�����;
根據(jù)網(wǎng)絡(luò)中的業(yè)務(wù)流量�����,監(jiān)控關(guān)鍵應(yīng)用的時延���、抖動和丟包率��,并實時調(diào)整QoS策略以保證應(yīng)用性能���。
MPLS DiffServ
對于MPLS網(wǎng)絡(luò)也可以通過DiffServ實現(xiàn),在保證網(wǎng)絡(luò)高利用率的同時�,可以根據(jù)不同VPN的EXP優(yōu)先級實現(xiàn)差別服務(wù),從而為語音�、視頻等數(shù)據(jù)流提供有帶寬保證的低延時、低丟包率的服務(wù)����。
DiffServ的基本機制是在網(wǎng)絡(luò)邊緣,根據(jù)業(yè)務(wù)的服務(wù)質(zhì)量要求將該業(yè)務(wù)映射到一定的業(yè)務(wù)類別中��,利用IP分組中的DS字段(由TOS域而來)唯一標(biāo)記該類業(yè)務(wù)�,然后,骨干網(wǎng)絡(luò)中的各節(jié)點根據(jù)該字段對各種業(yè)務(wù)采取預(yù)先設(shè)定的服務(wù)策略��,保證相應(yīng)的服務(wù)質(zhì)量�����。
基于MPLS的DiffServ就是通過將DS的分配與MPLS的標(biāo)簽分配過程結(jié)合來實現(xiàn)的。MPLS DiffServ在RFC3270定義��,要求通過MPLS包頭中的EXP值攜帶DiffServ PHB��,標(biāo)簽交換路由器(LSR)在做出轉(zhuǎn)發(fā)決策時要考慮MPLS EXP值�。
安全設(shè)計
隨著網(wǎng)絡(luò)技術(shù)的普及,網(wǎng)絡(luò)攻擊行為出現(xiàn)得越來越頻繁����。通過各種攻擊軟件,只要具有一般計算機常識的初學(xué)者也能完成對網(wǎng)絡(luò)的攻擊��。各種網(wǎng)絡(luò)病毒的泛濫���,也加劇了網(wǎng)絡(luò)被攻擊的危險��。
集團化企業(yè)的網(wǎng)絡(luò)更加龐大�,而且Internet的出口多�����,造成網(wǎng)絡(luò)的安全隱患多�����;同時各分支機構(gòu)的系統(tǒng)復(fù)雜性�����,又造成安全問題糾纏不清�����,一點出現(xiàn)問題����,全網(wǎng)受影響,而且排除困難����。那么如何保障網(wǎng)絡(luò)的安全呢?
網(wǎng)絡(luò)的安全應(yīng)從整體上考慮��,首先需要將安全層次分清��,將不同的區(qū)域劃分成不同的安全區(qū)域進行保護��,如數(shù)據(jù)中心區(qū)域��,外部連接區(qū)域(Internet出口����、分支機構(gòu)連接)�,重要部門(財務(wù)部門等)�;然后考慮每個區(qū)域的接入安全,如終端安全等��。這樣就形成全方位的安全防護�。
區(qū)域間防護—H3C IPS+Firewall組合式解決方案
隨著IT技術(shù)的發(fā)展,安全模型逐漸改變�����,單一防火墻的安全模型已不能滿足用戶的需求�,應(yīng)用層的安全攻擊能夠輕易穿透防火墻,形成新的隱患�,給企業(yè)的信息系統(tǒng)造成損失。
針對防火墻的不足�,需要有新的安全設(shè)備與之配合,這就是IPS―入侵防御系統(tǒng)���,可以這么解釋IPS在網(wǎng)絡(luò)安全上的重要性����,將一個需要保護的網(wǎng)絡(luò)比作一間密封的大屋子���,傳統(tǒng)的防火墻相當(dāng)于在屋子的墻上開了幾個窗口�,讓空氣和光線可以進來����,而IPS相當(dāng)于給這些窗口裝上紗窗、玻璃和窗簾���,以擋風(fēng)遮雨���,同時防范蒼蠅、蚊子���、灰塵等進入屋子��。
通過IPS+Firewall組合��,將網(wǎng)絡(luò)安全分層防護����,防火墻負責(zé)四層以下的防護����,IPS負責(zé)四層以上的防護��,IPS和Firewall互相配合���,形成區(qū)域安全邊界,保護企業(yè)重要出入口的安全���。
區(qū)域內(nèi)防護—H3C EAD終端準(zhǔn)入防護解決方案
客戶端的保護���,對于任何企業(yè)來說是一個非常困難的事,集團化企業(yè)計算機普及率廣�����,數(shù)量大��,終端一旦染毒���,就成為一個攻擊點����,再加上大多數(shù)從業(yè)者的計算機水平普遍不高����,這就造成終端的安全防護不夠��,木馬程序肆意泛濫,成為企業(yè)最為頭疼的問題�����。如何管理終端�?如何保護終端不受侵害?
據(jù)權(quán)威機構(gòu)對用戶的調(diào)查分析�,大多安全問題主要集中在病毒和系統(tǒng)自身漏洞方面,H3C公司依據(jù)多年的經(jīng)驗和先進的網(wǎng)絡(luò)技術(shù)��,結(jié)合用戶的需求�,推出EAD端點準(zhǔn)入防御系統(tǒng),配合交換機�����、路由器和安全設(shè)備���,徹底保護網(wǎng)絡(luò)安全���。
根據(jù)集團化企業(yè)逐級部署的特點��,為了保護集團內(nèi)所有終端的安全�����, H3C推出了分級部署方案��,具體部署如下所示:
每一個區(qū)域一臺策略服務(wù)器���,不同層次有不同的級別,從上到下安全策略逐級包含��,但每一個區(qū)域又相互獨立�����,形成單獨的EAD系統(tǒng)��,應(yīng)用符合自身特點的安全策略�。在每個區(qū)域內(nèi)EAD系統(tǒng)部署如下圖所示:
EAD在用戶接入網(wǎng)絡(luò)前,強制檢查用戶終端的安全狀態(tài)��,并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果��,強制實施用戶接入控制策略��,對不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進行“隔離”并強制用戶進行病毒庫升級、系統(tǒng)補丁安裝等操作�����;在保證用戶終端具備自防御能力并安全接入的前提下�����,合理控制用戶的網(wǎng)絡(luò)行為����,提升整網(wǎng)的安全防御能力�����。
IMC智能管理
通常��,集團化廣域網(wǎng)的建設(shè)涉及地域廣�����,各種網(wǎng)絡(luò)設(shè)備眾多�,如何將分布在各個區(qū)域的眾多網(wǎng)絡(luò)設(shè)備有效的管理起來,成為每一個網(wǎng)絡(luò)設(shè)計者和管理者不得不考慮的問題�。
H3C公司推出的網(wǎng)絡(luò)智能管理中心(iMC)基于SOA開放式框架���,將網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)業(yè)務(wù)有機的整合起來�,實現(xiàn)網(wǎng)絡(luò)的運營和管理從“網(wǎng)絡(luò)資源運營”向“信息服務(wù)和流程服務(wù)”、從“粗放的規(guī)模運營和管理”向“精確管理和精益運營”轉(zhuǎn)變����。
全面的基礎(chǔ)網(wǎng)絡(luò)資源管理
iMC可以對全網(wǎng)資源進行統(tǒng)一部署、管理和調(diào)配����,除了能夠有效的對各種主流廠商的路由器、交換機����、安全、無線���、語音等傳統(tǒng)網(wǎng)絡(luò)資源進行管理之外���,還可以對存儲、服務(wù)器�、PC、UPS等設(shè)備類型進行管理���,實現(xiàn)了故障�、性能、拓撲��、配置等管理內(nèi)容�����,成為業(yè)務(wù)融合聯(lián)動的基礎(chǔ)��。
在廣域網(wǎng)方面����,其拓撲功能與故障管理和性能管理緊密融合��,使拓撲圖能夠清晰地看到企業(yè)IT資源的狀態(tài)��,包括運行是否正常�����、網(wǎng)絡(luò)帶寬�、接口連通、配置變化都能一目了然��。配合ACL管理、QoS管理等多種功能���,靈活配置�,實現(xiàn)輕松管理���。
網(wǎng)絡(luò)資源和用戶的統(tǒng)一管理
iMC在對網(wǎng)絡(luò)設(shè)備進行管理的基礎(chǔ)上��,將網(wǎng)絡(luò)用戶一同納入管理范疇����,從網(wǎng)絡(luò)拓撲圖上即可以了解到有哪些用戶通過哪些網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò)���,每個用戶的上網(wǎng)行為和安全狀態(tài)都可以實時得到監(jiān)控和審計�����。而且通過故障根源分析��、SLA分析等基于規(guī)則和策略的深度分析����,直觀展示網(wǎng)絡(luò)運行狀態(tài),快速定位故障源�����,協(xié)助優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)�;通過流量異常檢測、網(wǎng)絡(luò)安全事件的集中管理和基于資源管理平臺的協(xié)同響應(yīng)���,提高風(fēng)險識別的準(zhǔn)確度�����、快速響應(yīng)安全威脅�����。
iMC可以支持LAN、WAN�、WLAN、VPN等方式的用戶認證接入�,實現(xiàn)接入業(yè)務(wù)的統(tǒng)一、集中管理�����;同時支持智能卡�����、證書等強認證功能,支持多種方式的端點準(zhǔn)入控制和基于身份的網(wǎng)絡(luò)服務(wù)��,實現(xiàn)用戶與資源和業(yè)務(wù)的融合管理����。
集團企業(yè)網(wǎng)MPLS VPN管理
基于集團化企業(yè)廣域網(wǎng)建設(shè)的MPLS VPN虛擬專網(wǎng),解決了企業(yè)當(dāng)前紛雜不清的業(yè)務(wù)系統(tǒng)之間傳輸層面上的相互影響��,使每個業(yè)務(wù)系統(tǒng)運行在不同的網(wǎng)絡(luò)平臺上��。然而�����,MPLS VPN涉及技術(shù)多而復(fù)雜����,增加了網(wǎng)絡(luò)運營、部署��、監(jiān)控���、維護等方面的難度�����。
H3C公司的管理解決方案“MPLS VPN Manager”是基于H3C智能管理中心開發(fā)的��,采用業(yè)界標(biāo)準(zhǔn)的SOA架構(gòu)�,提供融合的資源管理,重整業(yè)務(wù)流程�����,實現(xiàn)MPLS VPN業(yè)務(wù)整個生命周期(規(guī)劃���、部署�、監(jiān)視�����、審計��、優(yōu)化�、重構(gòu))的全流程管理�����。主要完成如下功能:
對MPLS VPN網(wǎng)絡(luò)業(yè)務(wù)進行規(guī)劃、部署以及已有業(yè)務(wù)的自動還原��;
對MPLS VPN網(wǎng)絡(luò)資源進行管理�����,提供對VPN網(wǎng)絡(luò)的配置優(yōu)化���;
對MPLS VPN網(wǎng)絡(luò)性能進行監(jiān)控和故障關(guān)聯(lián)分析���;
對MPLS VPN網(wǎng)絡(luò)配置進行變更審計;
對MPLS VPN網(wǎng)絡(luò)業(yè)務(wù)進行端到端的連通性測試���。
集團化企業(yè)發(fā)展展望
發(fā)揮集團化優(yōu)勢��,提高整體競爭力��,是集團化企業(yè)發(fā)展的初衷����。H3C長期致力于企業(yè)IT領(lǐng)域的建設(shè)����,努力發(fā)揮自身在IT技術(shù)前沿的優(yōu)勢��,為企業(yè)信息化構(gòu)建良好地網(wǎng)絡(luò)環(huán)境����。同時H3C作為企業(yè)的一分子��,切身體會企業(yè)建網(wǎng)的困惑�����,借助自身發(fā)展的經(jīng)驗和教訓(xùn)���,在信息化建設(shè)的進程中��,與廣大企業(yè)攜手共進�����,實現(xiàn)雙贏����。
服務(wù)咨詢電話:
0531-82393086
當(dāng)前位置 : 
