久久午夜无码鲁丝片,国产一区二区三区精品视频,小雪第一次交换又粗又大老杨,亚洲av永久无码精品

服務(wù)咨詢電話: 0531-82393086

news center

當(dāng)前位置 :
集團化企業(yè)廣域網(wǎng)解決方案

回顧中國企業(yè)的發(fā)展歷程,從無到有,從小到大的每一步的發(fā)展,所帶來的競爭力增強,給剛剛進入WTO的中國企業(yè)帶來了巨大的改變。

推進特色產(chǎn)業(yè)集群化發(fā)展,加快優(yōu)勢企業(yè)集團化建設(shè),是國家一直倡導(dǎo)的,為了迎接全球競爭所帶來的壓力,國內(nèi)企業(yè)紛紛組建集團,將優(yōu)勢企業(yè)強強聯(lián)合,形成集團優(yōu)勢,提升整體競爭力。

集團化的發(fā)展帶來了競爭力的提高,同時也帶來了體制和管理方面的變革,為了促進集團化戰(zhàn)略的發(fā)展,各個企業(yè)利用先進的技術(shù)作為基礎(chǔ),建設(shè)集團骨干網(wǎng),連接下屬企業(yè),形成有效地溝通平臺,保障企業(yè)的快速發(fā)展。

廣域網(wǎng)建設(shè)需求分析

集團化企業(yè)內(nèi)各個下屬單位分布分散,常常造成協(xié)調(diào)不一致,溝通不暢,管理不到位的情況,這對于一個企業(yè)來說,是不能忍受的,如何保障信息通暢,保障有效的管理,一個連接各個下屬公司的網(wǎng)絡(luò)平臺,成為溝通的有效途徑;但如此一張大網(wǎng)如何進行建設(shè)和管理,就成了急需解決的問題。

集團化公司在成立初期,自身網(wǎng)絡(luò)已初具規(guī)模,但下屬公司之間差別很大,技術(shù)力量也參差不齊,就需要在網(wǎng)絡(luò)規(guī)劃初期周密考慮。

網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計:一個好的網(wǎng)絡(luò)結(jié)構(gòu)是關(guān)系到網(wǎng)絡(luò)的整體可靠性的問題,對于集團化運作的企業(yè),業(yè)務(wù)系統(tǒng)需要不間斷的運行,如何使網(wǎng)絡(luò)更加可靠,就需要一個可靠的網(wǎng)絡(luò)結(jié)構(gòu)作為保障。

IP地址的重疊問題:一般企業(yè)的局域網(wǎng)建設(shè)都早于廣域網(wǎng),IP地址的規(guī)劃也各自為政,由于單位眾多,往往IP地址重疊嚴重,因此需要統(tǒng)一規(guī)劃IP地址或采用其他技術(shù)解決地址重疊。

路由規(guī)劃:路由規(guī)劃的好壞直接影響到日后企業(yè)不斷擴張和業(yè)務(wù)的要求,因此對于大型集團企業(yè),前期路由的規(guī)劃應(yīng)考慮到日后企業(yè)擴張的需求。

QoS的考慮:對于網(wǎng)絡(luò)來說廣域網(wǎng)的鏈路帶寬永遠小于局域網(wǎng)的接入帶寬,數(shù)據(jù)流傳輸類似于城市交通,總會出現(xiàn)擁堵的情況,如何解決實時數(shù)據(jù)和關(guān)鍵業(yè)務(wù)的流量順利傳輸,需要在規(guī)劃中將業(yè)務(wù)進行分類和設(shè)計。

業(yè)務(wù)隔離考慮:對于集團化運作的企業(yè),各種業(yè)務(wù)之間混雜在一起,相互影響,特別是在廣域網(wǎng)中,需要對業(yè)務(wù)進行有效的隔離,以提高業(yè)務(wù)運轉(zhuǎn)的高效率。

網(wǎng)絡(luò)安全考慮:集團網(wǎng)絡(luò)規(guī)模龐大,安全系數(shù)低,一點點小的漏洞,就會造成整體網(wǎng)絡(luò)癱瘓,在現(xiàn)今企業(yè),業(yè)務(wù)對網(wǎng)絡(luò)的依賴程度越來越深,安全的防護也越來越重要。

管理的考慮:大型網(wǎng)絡(luò)的管理是一個復(fù)雜的系統(tǒng)工程,簡單的人工管理,只會造成網(wǎng)絡(luò)進一步混亂,維護成本越來越高,如何降低總擁有成本TCO,智能化管理是集團企業(yè)必不可少的有效工具。

集團化廣域網(wǎng)解決方案

集團化企業(yè)信息系統(tǒng)的發(fā)展,對基礎(chǔ)網(wǎng)絡(luò)的依賴程度越來越高,保障其各個業(yè)務(wù)系統(tǒng)穩(wěn)定、高效的運行。這就需要一個可靠、安全、高效、集成的網(wǎng)絡(luò)平臺來承載其業(yè)務(wù)的應(yīng)用。 H3C在基于對企業(yè)的充分理解的基礎(chǔ)上,結(jié)合未來發(fā)展的可控網(wǎng)絡(luò)的思想,為集團化企業(yè)設(shè)計了廣域網(wǎng)的解決方案。

一個典型的集團化企業(yè)三級廣域網(wǎng)拓撲圖如下:

 集團化企業(yè)的廣域網(wǎng)建設(shè)主要是符合業(yè)務(wù)系統(tǒng)的需要。目前數(shù)據(jù)大集中、語音、視頻的應(yīng)用,對廣域網(wǎng)提出了更高的要求,考慮到這些要求和用戶對網(wǎng)絡(luò)可靠性的需要,建議采用雙設(shè)備、雙鏈路的方式進行組網(wǎng),實現(xiàn)一個安全、可靠、多業(yè)務(wù)承載的網(wǎng)絡(luò)平臺。

網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

網(wǎng)絡(luò)結(jié)構(gòu)分為星形、網(wǎng)狀、環(huán)形、混合等多種不同拓撲,每種拓撲都有不同的可靠性,投資也各不相同,對于集團化企業(yè)來說,由于規(guī)模龐大,下屬分支節(jié)點多,多采用雙星形網(wǎng)絡(luò)拓撲結(jié)構(gòu),

如圖所示,雙星形的網(wǎng)絡(luò)拓撲結(jié)構(gòu)實際是主備兩套網(wǎng)絡(luò)平臺同時在線,當(dāng)一點出現(xiàn)故障,可利用另一網(wǎng)絡(luò)平臺進行數(shù)據(jù)傳輸,實現(xiàn)業(yè)務(wù)不中斷的運行。

雙星形拓撲具有以下特點

可靠性高:采用兩個核心節(jié)點的雙連接星形網(wǎng)絡(luò)結(jié)構(gòu),使得網(wǎng)絡(luò)具有可靠性、可用性及安全性,避免了單點失效的隱患。

支持流量的負載分擔(dān):網(wǎng)絡(luò)流量可能隨著多種業(yè)務(wù)的發(fā)展日益壯大(如語音,視頻會議),網(wǎng)絡(luò)流量的負載分擔(dān)問題將會成為網(wǎng)絡(luò)可用性的主要因素,采用雙連接的網(wǎng)絡(luò)結(jié)構(gòu),使得網(wǎng)絡(luò)的流量能夠比較合理的分布在各條鏈路上。

支持網(wǎng)絡(luò)的冗余備份:核心節(jié)點采用兩臺高性能的網(wǎng)絡(luò)設(shè)備,使得核心層具有較好的冗余備份能力。同時,兩臺核心設(shè)備之間要采用高速鏈路互連,提供了核心設(shè)備間的高速互連帶寬,避免兩臺設(shè)備之間形成傳輸瓶頸。

解決IP地址重疊

IP地址的重疊有其自身原因,也有大多企業(yè)信息化從局部開始,向集團整體發(fā)展的問題,這是企業(yè)自下向上發(fā)展的模式所造成的。在集團廣域網(wǎng)建設(shè)初期,如何解決IP地址沖突的問題?就成了企業(yè)信息化進程中必須解決的首要問題。

企業(yè)IP地址的選擇大多采用私網(wǎng)地址,由于私網(wǎng)地址的數(shù)量有限,經(jīng)常會造成不同企業(yè)選擇相同地址段的IP,那么解決之道主要有以下兩種方式:

先期不改變現(xiàn)有地址,采用NAT方式解決地址重疊,再逐步更改IP地址。這樣的優(yōu)勢是集團企業(yè)網(wǎng)絡(luò)改造的范圍不大,影響小,能夠盡快實現(xiàn)廣域網(wǎng)連接;劣勢是在未完全更改完IP地址前,網(wǎng)絡(luò)管理復(fù)雜,維護難度大,對于其他業(yè)務(wù)應(yīng)用有很大的影響。

改變現(xiàn)有地址,杜絕IP地址重疊。利用集團總公司的行政權(quán)力,重新規(guī)劃IP地址,所有下屬企業(yè)按新的地址重新配置,徹底杜絕IP地址沖突。這樣的優(yōu)勢是管理簡單,易維護,對日后的業(yè)務(wù)支持好;劣勢是影響范圍大,IP地址改造時間長。

綜上所述,根據(jù)企業(yè)的不同情況和環(huán)境靈活選擇,最終將以前不合理的IP地址重疊問題徹底杜絕,為企業(yè)日后信息化的發(fā)展鋪平道路。

路由設(shè)計

對大型企業(yè)網(wǎng)絡(luò)來說,選擇一個合適的路由協(xié)議是非常重要的,不恰當(dāng)?shù)倪x擇有時對網(wǎng)絡(luò)是致命的。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,網(wǎng)絡(luò)規(guī)模越來越大,網(wǎng)絡(luò)上的業(yè)務(wù)類型也越來越多,其中最主要的兩大類應(yīng)用是:基于組播技術(shù)(包括VOD點播、遠程培訓(xùn)、實時視/音頻會議等)和基于MPLS技術(shù)(包括L3 VPNL2 VPN、VPLS、VPWS、TE等)。無論是組播技術(shù)還是MPLS技術(shù)都緊密依賴于路由技術(shù),路由設(shè)計的結(jié)果直接影響這兩大類業(yè)務(wù)的實際效果,因此路由協(xié)議的選擇、路由的部署就顯得尤其重要。

動態(tài)路由協(xié)議是集團化廣域網(wǎng)建設(shè)的首選,根據(jù)作用的范圍,分為內(nèi)部網(wǎng)關(guān)協(xié)議(Interior Gateway Protocol,簡稱IGP)和外部網(wǎng)關(guān)協(xié)議(Exterior Gateway Protocol,簡稱EGP),其中IGP協(xié)議包括RIP、OSPFIS-IS等,EGP協(xié)議目前只有BGP,而如何選擇路由協(xié)議,其主要跟以下原因有關(guān)。

路由協(xié)議的開放性:開放性的路由協(xié)議保證了不同廠商都能對本路由協(xié)議進行支持,這不僅保證了目前網(wǎng)絡(luò)的互通性,而且保證了將來網(wǎng)絡(luò)發(fā)展的擴充能力和選擇空間。

網(wǎng)絡(luò)的拓撲結(jié)構(gòu):網(wǎng)絡(luò)拓撲結(jié)構(gòu)直接影響協(xié)議的選擇。例如RIP這樣比較簡單的路由協(xié)議不支持分層次的路由信息計算,對復(fù)雜網(wǎng)絡(luò)的適應(yīng)能力較弱。路由協(xié)議還必須支持網(wǎng)絡(luò)拓撲的變化,在拓撲發(fā)生變化時,無論是對網(wǎng)絡(luò)中的路由本身,還是網(wǎng)絡(luò)設(shè)備的管理都要保證影響最小。

網(wǎng)絡(luò)節(jié)點數(shù)量:不同的協(xié)議對于網(wǎng)絡(luò)規(guī)模的支持能力有所不同,需要按需求適當(dāng)選擇,有時還需要采用一些特殊技術(shù)解決適應(yīng)網(wǎng)絡(luò)規(guī)模方面的擴展性問題。

與其他網(wǎng)絡(luò)的互連要求:通過劃分成相對獨立管理的網(wǎng)絡(luò)區(qū)域,可以減少網(wǎng)絡(luò)間的相關(guān)性,有利于網(wǎng)絡(luò)的擴展,路由協(xié)議要能支持減少網(wǎng)絡(luò)間的相關(guān)性(通常劃分為一個自治系統(tǒng)(AS)),在AS之間需要采用適當(dāng)?shù)膮^(qū)域間路由協(xié)議。必要時還要考慮路由信息安全因素和對路由交換的限制管理

管理和安全上的要求:通常要求在可以滿足功能需求的情況下盡可能簡化管理。但有時為了實現(xiàn)比較完善的管理功能或為了滿足安全的需要,例如對路由的傳播和選用提出一些人為的要求,就需要路由協(xié)議對策略的支持。

對于中小型網(wǎng)絡(luò)來說,采用IGP協(xié)議較多,這有力于維護和管理。其中RIP協(xié)議由于收斂時間慢、不支持分層、擴展性差等先天缺陷除了極個別的應(yīng)用場合,通常不應(yīng)被考慮;ISIS協(xié)議維護人員少、廠家設(shè)備支持少,整體維護成本高,應(yīng)用較少;而OSPF協(xié)議應(yīng)用最為廣泛,維護人員多。因此,在實際網(wǎng)絡(luò)部署中,通常采用OSPF 。

一個典型的OSPF 路由設(shè)計如下:

對于大型網(wǎng)絡(luò)來說,由于規(guī)模大,業(yè)務(wù)需求豐富,通常采用EGP協(xié)議。EGP協(xié)議的可選項只有一個,那就是BGP,由于其自身的技術(shù)特點,特別適合于大型網(wǎng)絡(luò)中需要承載網(wǎng)和業(yè)務(wù)網(wǎng)分離的應(yīng)用。

一個典型的多域BGP路由設(shè)計如下:

業(yè)務(wù)隔離—MPLS VPN設(shè)計

伴隨企業(yè)和公司的不斷擴張,集團化企業(yè)網(wǎng)絡(luò)建設(shè)已經(jīng)由原來的內(nèi)部局域網(wǎng)發(fā)展成為跨區(qū)域、跨城市的廣域連接,隨著承載業(yè)務(wù)的不斷增加和對業(yè)務(wù)的安全性的要求,用原有的IP技術(shù)已經(jīng)難以解決,而MPLS VPN技術(shù)的出現(xiàn),使得企業(yè)能夠利用現(xiàn)有廣域網(wǎng)建立自己的虛擬專網(wǎng),形成一網(wǎng)多平面地傳輸平臺,使不同的業(yè)務(wù)運行在不同的傳輸平面上,既實現(xiàn)了業(yè)務(wù)的隔離,又保障了安全,從而滿足企業(yè)自身網(wǎng)絡(luò)應(yīng)用的要求。

MPLS VPN技術(shù)介紹

MPLS可以看作是一種面向連接的技術(shù),通過MPLS信令建立好MPLS標(biāo)記交換通道,可以實現(xiàn)數(shù)據(jù)在網(wǎng)絡(luò)中的快速轉(zhuǎn)發(fā);MPLS VPN是一種基于MPLS技術(shù)的IP-VPN,是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS技術(shù),簡化核心路由器的路由選擇方式,結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)IP虛擬專用網(wǎng)絡(luò)(IP VPN),采用MPLS VPN技術(shù)實現(xiàn)虛擬路由器和隔離的虛擬轉(zhuǎn)發(fā)表和路由表,把現(xiàn)有的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)。

MPLS/BGP VPN的模型中,網(wǎng)絡(luò)由骨干網(wǎng)和用戶的各個Site組成,一個VPN就對應(yīng)一個由若干site組成的集合。屬于同一個VPN的兩個用戶之間可以正常訪問,不同VPN之間不能隨意連通。

MPLS VPN在集團企業(yè)的應(yīng)用

在企業(yè)內(nèi)部署MPLS VPN,可以實現(xiàn)財務(wù)、ERP、OA和語音視頻系統(tǒng)等業(yè)務(wù)的虛擬專網(wǎng)服務(wù),同時各虛擬專網(wǎng)之間也可以通過策略,實現(xiàn)安全可靠的信息交換。

對于集團化企業(yè),可以為各個下屬企業(yè)提供統(tǒng)一的網(wǎng)絡(luò)平臺,通過MPLS VPN虛擬網(wǎng)絡(luò),將集團內(nèi)相互交流的不同業(yè)務(wù)分成不同的轉(zhuǎn)發(fā)平面,實現(xiàn)其安全和靈活性。同時各業(yè)務(wù)系統(tǒng)之間相互獨立,以便于各業(yè)務(wù)系統(tǒng)的接入和擴展。

分層HOPE

由于MPLS/VPN 協(xié)議規(guī)劃是由核心、邊緣的兩層扁平結(jié)構(gòu)組成,所有設(shè)備都要維護VPN 的路由信息,但集團企業(yè)廣域網(wǎng)核心、匯聚、接入三層組網(wǎng)結(jié)構(gòu)中設(shè)備性能逐層降低的情況,對數(shù)量眾多的接入節(jié)點設(shè)備的性能提出嚴峻考驗,如果更換接入設(shè)備檔次滿足組網(wǎng)需求,又會導(dǎo)致組網(wǎng)成本大幅提升。

為解決多層接入問題,H3C 采用了分層PE 技術(shù)。分層PE 的結(jié)構(gòu)如下圖所示,直接連結(jié)用戶的設(shè)備稱為下層PE(Underlayer PE User-end PE,用戶側(cè)PE),簡寫為UPE,連結(jié)UPE 并位于網(wǎng)絡(luò)內(nèi)部的設(shè)備稱為上層PE(Superstratum PE Sevice Provider-end PE,服務(wù)運營商側(cè)PE),簡寫為SPE。這種框架結(jié)構(gòu)稱為PE 的分層結(jié)構(gòu)(Hiberarchy of PE),簡寫為HoPE。

多個UPE SPE 構(gòu)成分層式PE,它們之間的分工是:

UPE維護其直接連接的VPN 的路由,但不維護VPN 中其它節(jié)點的路由或僅維護它們的聚合路由;SPE 維護其通過UPE 所連接的節(jié)點所在的VPN 中的所有路由,包括本地和遠程節(jié)點中的路由。

UPE為其直接連接的節(jié)點的路由分配內(nèi)層標(biāo)簽,并通過MP-BGP VPN 路由發(fā)布這個標(biāo)簽給SPE;SPE 不發(fā)布遠程節(jié)點中的路由給UPE,而是只發(fā)布VRF 默認路由或聚合路由給UPE,并攜帶標(biāo)簽。

采用分層PE 技術(shù)后,SPE 就成為UPE 設(shè)備的代理,更上一級設(shè)備根本感知不到UPE 的存在,如果想與UPE 互通只需要與SPE 互通就可以了,分層PE 技術(shù)減少了骨干和匯聚層設(shè)備上面的路由信息,對UPE 的處理性能要求大幅降低,SPEUPE 方式還可支持多級嵌套,更適合于集團企業(yè)逐層連接的網(wǎng)絡(luò)結(jié)構(gòu)。

QoS 設(shè)計

廣域網(wǎng)的建設(shè)是復(fù)雜的,源于其自身特點帶寬瓶頸,如何利用有限的帶寬,保障實時業(yè)務(wù)和關(guān)鍵業(yè)務(wù)的及時傳輸?QoS技術(shù)得到了廣泛的應(yīng)用。

目前集團化企業(yè)網(wǎng)絡(luò)中主要包括三種業(yè)務(wù)應(yīng)用為語音、數(shù)據(jù)、視頻,數(shù)據(jù)又分為關(guān)鍵業(yè)務(wù)和一般應(yīng)用等,這些業(yè)務(wù)對IP QoS技術(shù)指標(biāo)的要求是不同的,通過有效地實施各項IP QoS技術(shù),使得網(wǎng)絡(luò)管理人員能夠有效地控制網(wǎng)絡(luò)資源及其使用。

IP QoS技術(shù)在設(shè)計實施時,首先需要考慮選擇合適的技術(shù)框架,也即服務(wù)模型,而由于DiffServ(區(qū)分服務(wù))模式具有處理效率高,部署和實施方便的特點被普遍采用。

下面的網(wǎng)絡(luò)模型為一個基本的DiffServ 體系架構(gòu)模型:

Diffserv體系架構(gòu)一般分為兩個層次,接入、骨干,骨干區(qū)域可為IPMPLS 轉(zhuǎn)發(fā)。按照端到端的部署原則,分別在下列管理區(qū)域:接入網(wǎng)絡(luò)、接入網(wǎng)絡(luò)邊緣、骨干網(wǎng)絡(luò)邊緣、骨干網(wǎng)絡(luò)分別部署QoS策略。

對上述的網(wǎng)絡(luò)模型實施IP QoS,一般都包括以下6個步驟:

識別業(yè)務(wù)中的關(guān)鍵應(yīng)用,對關(guān)鍵應(yīng)用進行分類。在對應(yīng)用分類前,必須明確這些關(guān)鍵應(yīng)用對時延、丟包率、抖動的要求、應(yīng)用的屬性或性能要求以及所使用的傳輸層協(xié)議棧;

標(biāo)記,為不同的業(yè)務(wù)數(shù)據(jù)流設(shè)置DSCP/IP Precedence優(yōu)先級標(biāo)記;

為每一類業(yè)務(wù)或應(yīng)用定義QoS監(jiān)管策略。根據(jù)業(yè)務(wù)數(shù)據(jù)流的分類和標(biāo)記信息,為不同的業(yè)務(wù)數(shù)據(jù)流分配網(wǎng)絡(luò)帶寬(包括最小帶寬、最大帶寬、突發(fā)速率等);

擁塞管理(Queuing):對輸出的業(yè)務(wù)數(shù)據(jù)流進行排隊,以實現(xiàn)關(guān)鍵業(yè)務(wù)的優(yōu)先傳輸;

擁塞避免(WRED):通過丟棄低優(yōu)先級數(shù)據(jù)包來解決網(wǎng)絡(luò)擁塞;

根據(jù)網(wǎng)絡(luò)中的業(yè)務(wù)流量,監(jiān)控關(guān)鍵應(yīng)用的時延、抖動和丟包率,并實時調(diào)整QoS策略以保證應(yīng)用性能。

MPLS DiffServ

對于MPLS網(wǎng)絡(luò)也可以通過DiffServ實現(xiàn),在保證網(wǎng)絡(luò)高利用率的同時,可以根據(jù)不同VPNEXP優(yōu)先級實現(xiàn)差別服務(wù),從而為語音、視頻等數(shù)據(jù)流提供有帶寬保證的低延時、低丟包率的服務(wù)。

DiffServ的基本機制是在網(wǎng)絡(luò)邊緣,根據(jù)業(yè)務(wù)的服務(wù)質(zhì)量要求將該業(yè)務(wù)映射到一定的業(yè)務(wù)類別中,利用IP分組中的DS字段(由TOS域而來)唯一標(biāo)記該類業(yè)務(wù),然后,骨干網(wǎng)絡(luò)中的各節(jié)點根據(jù)該字段對各種業(yè)務(wù)采取預(yù)先設(shè)定的服務(wù)策略,保證相應(yīng)的服務(wù)質(zhì)量。

基于MPLSDiffServ就是通過將DS的分配與MPLS的標(biāo)簽分配過程結(jié)合來實現(xiàn)的。MPLS DiffServRFC3270定義,要求通過MPLS包頭中的EXP值攜帶DiffServ PHB,標(biāo)簽交換路由器(LSR)在做出轉(zhuǎn)發(fā)決策時要考慮MPLS EXP值。

安全設(shè)計

隨著網(wǎng)絡(luò)技術(shù)的普及,網(wǎng)絡(luò)攻擊行為出現(xiàn)得越來越頻繁。通過各種攻擊軟件,只要具有一般計算機常識的初學(xué)者也能完成對網(wǎng)絡(luò)的攻擊。各種網(wǎng)絡(luò)病毒的泛濫,也加劇了網(wǎng)絡(luò)被攻擊的危險。

集團化企業(yè)的網(wǎng)絡(luò)更加龐大,而且Internet的出口多,造成網(wǎng)絡(luò)的安全隱患多;同時各分支機構(gòu)的系統(tǒng)復(fù)雜性,又造成安全問題糾纏不清,一點出現(xiàn)問題,全網(wǎng)受影響,而且排除困難。那么如何保障網(wǎng)絡(luò)的安全呢?

網(wǎng)絡(luò)的安全應(yīng)從整體上考慮,首先需要將安全層次分清,將不同的區(qū)域劃分成不同的安全區(qū)域進行保護,如數(shù)據(jù)中心區(qū)域,外部連接區(qū)域(Internet出口、分支機構(gòu)連接),重要部門(財務(wù)部門等);然后考慮每個區(qū)域的接入安全,如終端安全等。這樣就形成全方位的安全防護。

區(qū)域間防護—H3C IPS+Firewall組合式解決方案

隨著IT技術(shù)的發(fā)展,安全模型逐漸改變,單一防火墻的安全模型已不能滿足用戶的需求,應(yīng)用層的安全攻擊能夠輕易穿透防火墻,形成新的隱患,給企業(yè)的信息系統(tǒng)造成損失。

針對防火墻的不足,需要有新的安全設(shè)備與之配合,這就是IPS―入侵防御系統(tǒng),可以這么解釋IPS在網(wǎng)絡(luò)安全上的重要性,將一個需要保護的網(wǎng)絡(luò)比作一間密封的大屋子,傳統(tǒng)的防火墻相當(dāng)于在屋子的墻上開了幾個窗口,讓空氣和光線可以進來,而IPS相當(dāng)于給這些窗口裝上紗窗、玻璃和窗簾,以擋風(fēng)遮雨,同時防范蒼蠅、蚊子、灰塵等進入屋子。

通過IPS+Firewall組合,將網(wǎng)絡(luò)安全分層防護,防火墻負責(zé)四層以下的防護,IPS負責(zé)四層以上的防護,IPSFirewall互相配合,形成區(qū)域安全邊界,保護企業(yè)重要出入口的安全。

區(qū)域內(nèi)防護—H3C EAD終端準(zhǔn)入防護解決方案

客戶端的保護,對于任何企業(yè)來說是一個非常困難的事,集團化企業(yè)計算機普及率廣,數(shù)量大,終端一旦染毒,就成為一個攻擊點,再加上大多數(shù)從業(yè)者的計算機水平普遍不高,這就造成終端的安全防護不夠,木馬程序肆意泛濫,成為企業(yè)最為頭疼的問題。如何管理終端?如何保護終端不受侵害?

據(jù)權(quán)威機構(gòu)對用戶的調(diào)查分析,大多安全問題主要集中在病毒和系統(tǒng)自身漏洞方面,H3C公司依據(jù)多年的經(jīng)驗和先進的網(wǎng)絡(luò)技術(shù),結(jié)合用戶的需求,推出EAD端點準(zhǔn)入防御系統(tǒng),配合交換機、路由器和安全設(shè)備,徹底保護網(wǎng)絡(luò)安全。

根據(jù)集團化企業(yè)逐級部署的特點,為了保護集團內(nèi)所有終端的安全, H3C推出了分級部署方案,具體部署如下所示:

每一個區(qū)域一臺策略服務(wù)器,不同層次有不同的級別,從上到下安全策略逐級包含,但每一個區(qū)域又相互獨立,形成單獨的EAD系統(tǒng),應(yīng)用符合自身特點的安全策略。在每個區(qū)域內(nèi)EAD系統(tǒng)部署如下圖所示:

EAD在用戶接入網(wǎng)絡(luò)前,強制檢查用戶終端的安全狀態(tài),并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果,強制實施用戶接入控制策略,對不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進行隔離并強制用戶進行病毒庫升級、系統(tǒng)補丁安裝等操作;在保證用戶終端具備自防御能力并安全接入的前提下,合理控制用戶的網(wǎng)絡(luò)行為,提升整網(wǎng)的安全防御能力。

IMC智能管理

通常,集團化廣域網(wǎng)的建設(shè)涉及地域廣,各種網(wǎng)絡(luò)設(shè)備眾多,如何將分布在各個區(qū)域的眾多網(wǎng)絡(luò)設(shè)備有效的管理起來,成為每一個網(wǎng)絡(luò)設(shè)計者和管理者不得不考慮的問題。

H3C公司推出的網(wǎng)絡(luò)智能管理中心(iMC)基于SOA開放式框架,將網(wǎng)絡(luò)用戶、網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)業(yè)務(wù)有機的整合起來,實現(xiàn)網(wǎng)絡(luò)的運營和管理從網(wǎng)絡(luò)資源運營信息服務(wù)和流程服務(wù)、從粗放的規(guī)模運營和管理精確管理和精益運營轉(zhuǎn)變。

全面的基礎(chǔ)網(wǎng)絡(luò)資源管理

iMC可以對全網(wǎng)資源進行統(tǒng)一部署、管理和調(diào)配,除了能夠有效的對各種主流廠商的路由器、交換機、安全、無線、語音等傳統(tǒng)網(wǎng)絡(luò)資源進行管理之外,還可以對存儲、服務(wù)器、PCUPS等設(shè)備類型進行管理,實現(xiàn)了故障、性能、拓撲、配置等管理內(nèi)容,成為業(yè)務(wù)融合聯(lián)動的基礎(chǔ)。

在廣域網(wǎng)方面,其拓撲功能與故障管理和性能管理緊密融合,使拓撲圖能夠清晰地看到企業(yè)IT資源的狀態(tài),包括運行是否正常、網(wǎng)絡(luò)帶寬、接口連通、配置變化都能一目了然。配合ACL管理、QoS管理等多種功能,靈活配置,實現(xiàn)輕松管理。

網(wǎng)絡(luò)資源和用戶的統(tǒng)一管理

iMC在對網(wǎng)絡(luò)設(shè)備進行管理的基礎(chǔ)上,將網(wǎng)絡(luò)用戶一同納入管理范疇,從網(wǎng)絡(luò)拓撲圖上即可以了解到有哪些用戶通過哪些網(wǎng)絡(luò)設(shè)備接入網(wǎng)絡(luò),每個用戶的上網(wǎng)行為和安全狀態(tài)都可以實時得到監(jiān)控和審計。而且通過故障根源分析、SLA分析等基于規(guī)則和策略的深度分析,直觀展示網(wǎng)絡(luò)運行狀態(tài),快速定位故障源,協(xié)助優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu);通過流量異常檢測、網(wǎng)絡(luò)安全事件的集中管理和基于資源管理平臺的協(xié)同響應(yīng),提高風(fēng)險識別的準(zhǔn)確度、快速響應(yīng)安全威脅。

iMC可以支持LANWAN、WLANVPN等方式的用戶認證接入,實現(xiàn)接入業(yè)務(wù)的統(tǒng)一、集中管理;同時支持智能卡、證書等強認證功能,支持多種方式的端點準(zhǔn)入控制和基于身份的網(wǎng)絡(luò)服務(wù),實現(xiàn)用戶與資源和業(yè)務(wù)的融合管理。

集團企業(yè)網(wǎng)MPLS VPN管理

基于集團化企業(yè)廣域網(wǎng)建設(shè)的MPLS VPN虛擬專網(wǎng),解決了企業(yè)當(dāng)前紛雜不清的業(yè)務(wù)系統(tǒng)之間傳輸層面上的相互影響,使每個業(yè)務(wù)系統(tǒng)運行在不同的網(wǎng)絡(luò)平臺上。然而,MPLS VPN涉及技術(shù)多而復(fù)雜,增加了網(wǎng)絡(luò)運營、部署、監(jiān)控、維護等方面的難度。

H3C公司的管理解決方案“MPLS VPN Manager”是基于H3C智能管理中心開發(fā)的,采用業(yè)界標(biāo)準(zhǔn)的SOA架構(gòu),提供融合的資源管理,重整業(yè)務(wù)流程,實現(xiàn)MPLS VPN業(yè)務(wù)整個生命周期(規(guī)劃、部署、監(jiān)視、審計、優(yōu)化、重構(gòu))的全流程管理。主要完成如下功能:

MPLS VPN網(wǎng)絡(luò)業(yè)務(wù)進行規(guī)劃、部署以及已有業(yè)務(wù)的自動還原;

MPLS VPN網(wǎng)絡(luò)資源進行管理,提供對VPN網(wǎng)絡(luò)的配置優(yōu)化;

MPLS VPN網(wǎng)絡(luò)性能進行監(jiān)控和故障關(guān)聯(lián)分析;

MPLS VPN網(wǎng)絡(luò)配置進行變更審計;

MPLS VPN網(wǎng)絡(luò)業(yè)務(wù)進行端到端的連通性測試。

集團化企業(yè)發(fā)展展望

發(fā)揮集團化優(yōu)勢,提高整體競爭力,是集團化企業(yè)發(fā)展的初衷。H3C長期致力于企業(yè)IT領(lǐng)域的建設(shè),努力發(fā)揮自身在IT技術(shù)前沿的優(yōu)勢,為企業(yè)信息化構(gòu)建良好地網(wǎng)絡(luò)環(huán)境。同時H3C作為企業(yè)的一分子,切身體會企業(yè)建網(wǎng)的困惑,借助自身發(fā)展的經(jīng)驗和教訓(xùn),在信息化建設(shè)的進程中,與廣大企業(yè)攜手共進,實現(xiàn)雙贏。