【正文】 DOS/DDOS是一種傳統(tǒng)的網(wǎng)絡(luò)攻擊方式，然而其破壞力卻十分強(qiáng)勁。而第七層的智能性交換能夠?qū)崿F(xiàn)進(jìn)一步的控制，即對所有傳輸流和內(nèi)容的控制。也就是說第四層交換除了考慮三層的邏輯地址外還要考慮對端口地址的交換。第二層與第三層交換在解決局域網(wǎng)和網(wǎng)絡(luò)互聯(lián)的QoS問題了發(fā)揮了很好的作用，但是對于當(dāng)前的網(wǎng)絡(luò)來說還是不夠的，還需要進(jìn)一步提高性能，這就需要在更高層上引入交換的概念。 鏈路捆綁/端口捆綁鏈路捆綁可以提高網(wǎng)絡(luò)的可靠性，實(shí)現(xiàn)基于物理端口的負(fù)載均衡和冗余備份端口捆綁技術(shù)鏈路聚合Link aggregation也稱主干（Trunking）或捆綁技術(shù)（Bonding），其實(shí)質(zhì)是將兩臺設(shè)備間的數(shù)條物理鏈路“組合”成邏輯上的一條數(shù)據(jù)通路，提高鏈路的可用性，提高鏈路帶寬，只要還存在能正常工作的成員，整個傳輸鏈路就不會失效，最大帶寬等于各成員帶寬之和鏈路級負(fù)載分擔(dān)，按需增長的帶寬。 二層路徑冗余，如：MSTP。4. 負(fù)載均衡產(chǎn)品的引入保證47層的負(fù)載均衡。6. 管理每個交換機(jī)上的管理端口都會連接到數(shù)據(jù)中心管理分區(qū)的交換機(jī)上（可以接入帶內(nèi)管理網(wǎng)絡(luò)，也可以接入帶外管理網(wǎng)）。End of row方式適合于服務(wù)器之間連接到框式匯聚層交換的一層接入方式：在此方式下，如下圖所示的End of row方式配線通過機(jī)架式交換機(jī)進(jìn)行超大密度服務(wù)器接入，交換機(jī)單獨(dú)機(jī)架配置,匯集走線密度高，某些情況考慮地下走線，需要處理好散熱問題。將VRRP＋MSTP做為高可用最佳組合方式。2. 拓?fù)浜蛥f(xié)議在匯聚層，匯聚層設(shè)備采用雙鏈路上聯(lián)到兩臺核心設(shè)備，可以在匯聚層應(yīng)用智能堆疊技術(shù)。當(dāng)然具體的擴(kuò)展實(shí)施要針對當(dāng)時具體的情況進(jìn)行分析。到其他分區(qū)的上連端口支持10Gbps的傳輸速度。每個VLAN都配置在兩臺交換機(jī)上。3. 高可用性和冗余核心區(qū)中的兩臺交換機(jī)配置相同，建議從以下幾個方面考慮高可用設(shè)計：1. 交換機(jī)引擎。核心區(qū)交換機(jī)連接到所有其他區(qū)的邊緣設(shè)備，既可以是一對HA方式的交換機(jī)，也可以是一對HA方式的防火墻。對于服務(wù)器區(qū)接入層還可以按照應(yīng)用機(jī)構(gòu)進(jìn)行分級部署，分級設(shè)計思路來源于數(shù)據(jù)中心業(yè)務(wù)系統(tǒng)的多級架構(gòu)，如圖：這種多級架構(gòu)往往要求數(shù)據(jù)中心的一個業(yè)務(wù)系統(tǒng)分別部署WEb服務(wù)器、App服務(wù)器和DB服務(wù)器，而各服務(wù)之間有嚴(yán)格的訪問控制策略，因此在數(shù)據(jù)中心接入層部署中會考慮到服務(wù)器的這種多級部署架構(gòu)，將網(wǎng)絡(luò)接入層再細(xì)分為WEB服務(wù)器級、APP服務(wù)器級、DB服務(wù)器級。如圖所示：在服務(wù)區(qū)網(wǎng)絡(luò)拓?fù)渲?，專用的核心層（核心區(qū)）可以使整個數(shù)據(jù)中心各區(qū)域之間具有更好的可伸縮能力。采用模塊化的架構(gòu)設(shè)計方法可以在數(shù)據(jù)中心中清晰區(qū)分不同的功能區(qū)域，應(yīng)用不同的設(shè)計方法，可以根據(jù)不同區(qū)域和層次的功能需求進(jìn)行建設(shè)和操作。216。 開放性。如果客戶與員工不能訪問關(guān)鍵性應(yīng)用，業(yè)務(wù)將遭受無法挽回的利潤損失。DSCP與IP Precedence值進(jìn)行相互轉(zhuǎn)換時有如下的對應(yīng)關(guān)系：IP PrecedenceDSCP0 (000―――)0 （0000001 (001―――)8 (0010002 (010―――)16 (0100003 (011―――)24 (011000)4 (100―――)32 (100000)5 (101―――)40 (101000)具體數(shù)據(jù)流分類如下：業(yè)務(wù)應(yīng)用類型DSCP/IP Precedence值其它應(yīng)用（如FTP和HTTP）0/0非FTP/HTTP的OA應(yīng)用8/1營業(yè)類文件傳輸業(yè)務(wù)16/2營業(yè)類實(shí)時業(yè)務(wù)24/3視頻/語音32/4 擁塞管理與擁塞避免省郵政與市郵政之間的廣域網(wǎng)鏈路是可能發(fā)生擁塞的網(wǎng)段，需要使用QoS的擁塞管理機(jī)制CBWFQ和擁塞避免機(jī)制WRED，以保證高優(yōu)先級業(yè)務(wù)數(shù)據(jù)的服務(wù)質(zhì)量。第三，根據(jù)用戶、業(yè)務(wù)類型制定相應(yīng)的QoS策略，保證SLA順利實(shí)施。在分層調(diào)度模型中，共包括端口層、用戶組層、用戶層、用戶業(yè)務(wù)層共四個層次。d) 易維護(hù)性：QoS的部署是一個循序漸進(jìn)的過程，要充分考慮維護(hù)技術(shù)的難度。同時EAD可以通過安全策略服務(wù)器與安全客戶端的配合，強(qiáng)制實(shí)施終端安全配置（如是否實(shí)時檢查郵件、注冊表、是否限制代理、是否限制雙網(wǎng)卡等），監(jiān)控用戶終端的安全事件（如查殺病毒、修改安全設(shè)置等）。EAD將防病毒、補(bǔ)丁修復(fù)等終端安全措施與網(wǎng)絡(luò)接入控制、訪問權(quán)限控制等網(wǎng)絡(luò)安全措施整合為一個聯(lián)動的安全體系，通過對網(wǎng)絡(luò)接入終端的檢查、隔離、修復(fù)、管理和監(jiān)控，使整個網(wǎng)絡(luò)變被動防御為主動防御、變單點(diǎn)防御為全面防御、變分散管理為集中策略管理，提升了網(wǎng)絡(luò)對病毒、蠕蟲等新興安全威脅的整體防御能力。通過在線部署，IPS可以檢測并直接阻斷惡意流量。因此在關(guān)鍵位置部署應(yīng)用層安全設(shè)備，如入侵防御系統(tǒng)和防病毒網(wǎng)關(guān)實(shí)現(xiàn)。這些安全特性同時也是內(nèi)網(wǎng)安全解決方案中很多功能實(shí)現(xiàn)的基礎(chǔ)，這些安全特性包括：1) 接入控制技術(shù)——Port Security2) 接入安全技術(shù)——防IP偽裝3) 防中間人攻擊——STP Root / BPDU 保護(hù)4) 防ARP欺騙5) DHCP server 保護(hù)6) 路由協(xié)議攻擊防護(hù)能力(2)防火墻系統(tǒng)，防火墻是專門用來進(jìn)行網(wǎng)絡(luò)區(qū)域隔離的，是最主流也是最重要的安全產(chǎn)品，是邊界安全解決方案的核心。數(shù)據(jù)傳送安全：為了解決數(shù)據(jù)在傳輸過程中的安全問題。主要存在于終端電腦的安全性較差，導(dǎo)致整個網(wǎng)絡(luò)不可用或者系統(tǒng)崩潰。當(dāng)用戶業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新的業(yè)務(wù)部門時，可以通過添加或者減少防火墻實(shí)例的方式十分靈活的解決后續(xù)網(wǎng)絡(luò)擴(kuò)展問題，簡化了網(wǎng)絡(luò)管理的復(fù)雜度。SecBlade FW集成防火墻、VPN、內(nèi)容過濾和NAT地址轉(zhuǎn)換等功能，提升了網(wǎng)絡(luò)設(shè)備的安全業(yè)務(wù)能力，為用戶提供全面的安全防護(hù)。為用戶登錄提供安全加密通道。 地市路由器、交換機(jī)需支持電源冗余2. 鏈路級可靠性在PE上配置網(wǎng)段為本地，下一跳指向CE的靜態(tài)路由，然后引入到MPBGP中，發(fā)布到其它節(jié)點(diǎn)；同時，在CE上配置目的網(wǎng)段為其它節(jié)點(diǎn)，下一跳為PE的靜態(tài)路由。OSPF和ISIS的選擇依據(jù)如下：a) 基本原理相同（基于鏈路狀態(tài)算法），OSPF用于IP， ISIS用于ISO的CLNP，也支持IP（“集成ISIS”）；b) ISIS結(jié)構(gòu)嚴(yán)謹(jǐn)，不支持NBMA等網(wǎng)絡(luò)類型，OSPF組網(wǎng)更加靈活，對不同的組網(wǎng)需求體現(xiàn)更好的適應(yīng)性； c) ISIS占用網(wǎng)絡(luò)資源相對較少，支持網(wǎng)絡(luò)規(guī)模大于OSPF，在網(wǎng)絡(luò)相當(dāng)龐大時能體現(xiàn)出優(yōu)勢；一個IGP域運(yùn)行的三層交換機(jī)及路由器的數(shù)量一般不會超過200臺，因此從實(shí)際情況來看，運(yùn)行OSPF和ISIS對IP城域網(wǎng)/承載網(wǎng)的建設(shè)不會有差異；對于網(wǎng)絡(luò)的穩(wěn)定性、可擴(kuò)充性，兩種協(xié)議都能很好地支持；在大型ISP上，ISIS與OSPF二者均獲得普遍應(yīng)用；d) 從MPLS草案及現(xiàn)實(shí)運(yùn)行來看，如果要運(yùn)行MPLS網(wǎng)絡(luò)的話，OSPF經(jīng)常被選用做內(nèi)部IGP，當(dāng)然ISIS也有，但是MPLS草案中認(rèn)為在MPLS環(huán)境中運(yùn)行OSPF更合適；綜合考慮，對于郵政骨干網(wǎng)改造目前規(guī)模的網(wǎng)絡(luò)，由于OSPF 組網(wǎng)更加靈活，支持豐富的區(qū)域類型且維護(hù)人員更易熟悉，故建議選擇OSPF做為IGP路由協(xié)議。具體使用那種路由協(xié)議要根據(jù)情況而定，如當(dāng)CE以下的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，路由條目較多的時候，PE和CE之間需要運(yùn)行BGP協(xié)議，當(dāng)然應(yīng)用這種方案對CE的要求也是比較高的。規(guī)劃如下：視頻業(yè)務(wù) ：65400：1數(shù)據(jù)業(yè)務(wù) ：65400：2綜合業(yè)務(wù) ：65400: 3金融業(yè)務(wù) : 65400: 44. VPN的互通與隔離接入層本地VPN接入CE設(shè)備采用的是二層交換機(jī)或路由器，因此不同VPN可以通過二層VLAN進(jìn)行本地隔離，在MPLS PE設(shè)備上為每個VPN維護(hù)一張單獨(dú)的路由表，防止了不同VPN路由的相互泄漏，同一VPN的各個site可以互通，不同VPN site之間相互隔離。即PE設(shè)備上每個VRF表中的所有VPNIPv4路規(guī)劃如下：視頻業(yè)務(wù) ：65400：1數(shù)據(jù)業(yè)務(wù) ：65400：2綜合業(yè)務(wù) ：65400: 3金融業(yè)務(wù) : 65400: 43. 全局RT值規(guī)劃通過配置VRF（路由轉(zhuǎn)發(fā)實(shí)例）的target 屬性，可以實(shí)現(xiàn)不同業(yè)務(wù)的VPN。在廣域網(wǎng)上的路由器全部作為PE，構(gòu)成MPLS VPN的核心域。 MPLS VPN設(shè)計 MPLS VPN系統(tǒng)設(shè)計在本次工程中，我們采用MPLS VPN技術(shù)來實(shí)現(xiàn)業(yè)務(wù)隔離實(shí)現(xiàn)需要。省、市均配備兩臺廣域網(wǎng)路由器作為MPLS網(wǎng)絡(luò)的PE設(shè)備，通過租用運(yùn)營商的SDH電路連接，骨干網(wǎng)不單獨(dú)設(shè)置P設(shè)備，通過PE設(shè)備完成為各個業(yè)務(wù)系統(tǒng)的數(shù)據(jù)報文封裝、交換和拆封MPLS標(biāo)簽。在江西郵政早期骨干網(wǎng)建設(shè)時期，基于IP技術(shù)之上的VPN和QoS技術(shù)發(fā)展還不是非常完善，同時還有相當(dāng)部分的業(yè)務(wù)系統(tǒng)運(yùn)行在非IP方式下，采用二層網(wǎng)絡(luò)平臺可以較好的解決各業(yè)務(wù)系統(tǒng)安全隔離和服務(wù)質(zhì)量保證的需求，是當(dāng)時的技術(shù)發(fā)展水平和業(yè)務(wù)需求條件下較好的解決方案?？梢哉J(rèn)為，內(nèi)層標(biāo)簽代表了通過骨干網(wǎng)相連的兩個CE之間的一個隧道。PECE之間要交換路由信息一般是通過靜態(tài)路由，也可以通過RIP、BGP等。但是必須遵循如下規(guī)則：兩個Site之間只有至少同時屬于一個VPN定義的Site集合，才具有IP連通性。在MPLS標(biāo)記交換路徑的出口（或倒數(shù)第二跳），彈出MPLS包頭，還回原來的IP包（在VPN的時候可能是以太網(wǎng)報文或ATM報文等）。主要針對網(wǎng)絡(luò)設(shè)備和鏈路的管理，對服務(wù)器的管理以網(wǎng)絡(luò)通斷、流量等情況為主，對其詳細(xì)運(yùn)行情況在本次工程中不做要求。 高安全性要求改造后的網(wǎng)絡(luò)能夠?qū)崿F(xiàn)現(xiàn)有四大系統(tǒng)（綜合、綠卡、辦公、視頻）網(wǎng)絡(luò)之間可靠的安全隔離，并能提供跨業(yè)系統(tǒng)網(wǎng)絡(luò)的互訪手段，針對跨網(wǎng)訪問提供必要的安全控制手段。 內(nèi)部IP電話、IP傳真服務(wù)，簡稱語音網(wǎng) 郵政綜合業(yè)務(wù)（郵政營業(yè)、報刊、集郵、物流、內(nèi)部處理、生產(chǎn)管理等郵政基本業(yè)務(wù)及相關(guān)增值業(yè)務(wù)），簡稱綜合網(wǎng)本項目的目標(biāo)是建設(shè)一個安全、可靠、可管理的省市骨干網(wǎng)絡(luò)平臺，確保改造后網(wǎng)絡(luò)設(shè)備滿足業(yè)務(wù)5年發(fā)展的需要，通信帶寬滿足業(yè)務(wù)3年發(fā)展的需要，主要網(wǎng)絡(luò)設(shè)備和線路有備份保障，核心業(yè)務(wù)具備嚴(yán)格的安全防范措施。 可管理性要求建設(shè)統(tǒng)一的網(wǎng)管系統(tǒng)，能夠?qū)φ麄€骨干網(wǎng)內(nèi)多個廠家設(shè)備實(shí)現(xiàn)完善的拓?fù)涔芾?、設(shè)備管理、性能管理和故障管理，可以實(shí)時監(jiān)控所有設(shè)備和線路的運(yùn)行狀況，對全網(wǎng)設(shè)備的運(yùn)行信息進(jìn)行實(shí)時監(jiān)控，并對故障和性能超限實(shí)現(xiàn)實(shí)時告警，對設(shè)備運(yùn)行情況進(jìn)行查詢和統(tǒng)計，定期生成運(yùn)行報告。一個轉(zhuǎn)發(fā)等價類是在網(wǎng)絡(luò)中遵循同樣的轉(zhuǎn)發(fā)路徑的報文的集合，這些報文的目的地址甚至可以不同。根據(jù)PE（Provider Edge）設(shè)備是否參與VPN路由又細(xì)分為二層VPN和三層VPN。RD時用來標(biāo)識VPN的成員即Site的。很多采用私有地址的用戶不必再進(jìn)行地址轉(zhuǎn)換NAT。在廣域網(wǎng)建設(shè)中，有兩種層次的網(wǎng)絡(luò)建設(shè)模式，一種是建設(shè)以IP協(xié)議為平臺的第三層網(wǎng)絡(luò)，一種是建設(shè)基于Frame Relay或ATM的第二層網(wǎng)絡(luò)平臺。 總體建設(shè)方案本工程的目標(biāo)是將江西省郵政骨干網(wǎng)改造成為一個統(tǒng)一的傳輸平臺，支持包括郵政業(yè)務(wù)、金融業(yè)務(wù)、OA、語音、視頻在內(nèi)的多個業(yè)務(wù)系統(tǒng)混合傳輸，實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)間的安全隔離并保證各業(yè)務(wù)系統(tǒng)的服務(wù)質(zhì)量。新申請備用電路N*2M電路，安裝到新的骨干網(wǎng)備份設(shè)備上，在省中心開通CPOS口，在市局開通多個個2Mbps進(jìn)行端口捆綁。具體使用那種路由協(xié)議要根據(jù)情況而定，如當(dāng)CE以下的網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，路由條目較多的時候，PE和CE之間需要運(yùn)行BGP協(xié)議，當(dāng)然應(yīng)用這種方案對CE的要求也是比較高的。在此次項目中，是一個業(yè)務(wù)系統(tǒng)對應(yīng)于一個VPN，因此VRF的命名只需使用業(yè)務(wù)系統(tǒng)的漢語拼音來標(biāo)識。spoke等不同VPN組網(wǎng)方式。各地市CE之間的VPN路由的傳遞、VPN路由標(biāo)簽的分發(fā)，都是通過骨干區(qū)域MPBGP協(xié)議的擴(kuò)展屬性實(shí)現(xiàn)的。c) 路由反射器（RR）本項目中將核心層兩臺核心路由器S8805反射器配置為一個cluster，可以實(shí)現(xiàn)兩臺路由反射器的相互備份。其他區(qū)域暫時不考慮，留給以后網(wǎng)絡(luò)擴(kuò)展使用。檢測平面與控制平面、轉(zhuǎn)發(fā)平面相互獨(dú)立、互不影響，為用戶提供了電信級的可靠性。（2）設(shè)備自身的安全特性：H3C S9500系列采用“最長匹配、逐包轉(zhuǎn)發(fā)”模式，能夠抵御網(wǎng)絡(luò)病毒的攻擊；支持OSPF、RIPv2 及BGPv4 報文的明文及MD5密文認(rèn)證；支持IP、VLAN 、MAC和端口等多種組合綁定方式，防范地址盜用；支持廣播報文抑制，有效控制ARP等非法廣播流量對設(shè)備造成沖擊；支持URPF，防止IP地址欺騙；支持報文安全過濾，防止非法侵入和惡意報文攻擊等。 省核心交換機(jī)均支持業(yè)界先進(jìn)的插卡式安全擴(kuò)展技術(shù) 本次選用的核心交換機(jī)S9500支持業(yè)界領(lǐng)先的安全插卡技術(shù)。 H3C SecBlade FW采用先進(jìn)的多核硬件結(jié)構(gòu)，提供無以倫比的萬兆線速安全防護(hù)，是業(yè)內(nèi)處理性能最高的防火墻模塊，將網(wǎng)絡(luò)安全防護(hù)提升到萬兆安全新階段。主要存在于郵政網(wǎng)絡(luò)分為綜合業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、辦公系統(tǒng)、視頻系統(tǒng)；幾個系統(tǒng)之間的如何保證相互數(shù)據(jù)流動的安全控制，以及單一系統(tǒng)內(nèi)部的風(fēng)險規(guī)避。限制不必要的路由交換，將接口置為Passive狀態(tài)。安全區(qū)域劃分原則：省中心高于地市中心、地市中心高于區(qū)縣中心；區(qū)縣中心高于網(wǎng)點(diǎn)；金融業(yè)務(wù)系統(tǒng)高于綜合業(yè)務(wù)系統(tǒng)、綜合業(yè)務(wù)系統(tǒng)高于辦公系統(tǒng)；具體控制措施主要通過，(1)交換機(jī)、路由器本身實(shí)現(xiàn)的基于VLAN的隔離和訪問控制。通過集成化的插卡防火墻可以直接部署在數(shù)據(jù)中心核心交換機(jī)上，使得內(nèi)部區(qū)域之間互訪控制更加靈活。因此，即使在網(wǎng)絡(luò)中已部署了防火墻、IDS等基礎(chǔ)網(wǎng)絡(luò)安全產(chǎn)品，IT部門仍然發(fā)現(xiàn)網(wǎng)絡(luò)的帶寬利用率居高不下、應(yīng)用系統(tǒng)的響應(yīng)速度越來越慢?？梢苑謨蓚€層面進(jìn)行討論，一、終端和服務(wù)器層面，根據(jù)不同業(yè)務(wù)的需求將終端功能進(jìn)行劃分，服務(wù)器根據(jù)不同功能部署在不同區(qū)域進(jìn)行隔離；二、數(shù)據(jù)流層面，不同系統(tǒng)的數(shù)據(jù)流通過路由和物理鏈路進(jìn)行區(qū)別。c