【正文】 系統(tǒng)方案 規(guī)劃 設(shè)計(jì) 網(wǎng)管系統(tǒng)概述 網(wǎng)管系統(tǒng) 提供了“無縫式 IT 運(yùn)維管理”功能，其系統(tǒng)架構(gòu)清晰，采用模塊化的設(shè)計(jì)理念，各功能模塊既可獨(dú)立運(yùn)行、松散耦合；亦可整體功能無縫銜接覆蓋整個(gè)業(yè)務(wù)系統(tǒng)，靈活的自由組合真正實(shí)現(xiàn)個(gè)性化的 IT 無憂運(yùn)維。 在部署 NAT 時(shí)，需要考慮應(yīng)用級(jí) ALG， 因?yàn)橥ǔＧ闆r下， NAT 只改變 IP 報(bào)文頭部地址信息，而不對(duì)報(bào)文載荷進(jìn)行分析，這對(duì)于普通的應(yīng)用層協(xié)議（如 Tel）來說，并不會(huì)影響其業(yè)務(wù)的開展；然而有一些應(yīng)用層協(xié)議，其報(bào)文載荷中可能也攜帶有數(shù)據(jù)通道的地址或端口信息，若這些信息不能被有效轉(zhuǎn)換，就可能導(dǎo)致問題。 防火墻的性能主要取決于以下參數(shù)： ? 轉(zhuǎn)發(fā)性能：從吞吐量方面考慮 ,決定設(shè)備的防護(hù)性能 ? 并發(fā)連接數(shù)： 從數(shù)據(jù)流數(shù)目方面考慮 ,決定設(shè)備的防護(hù)性能 ? 每秒新建連接數(shù)：決定單位時(shí)間的防護(hù)能力 ? ACL 匹配速度：決定規(guī)則匹配的可靠和性能 華為 S93 系列集成的防火墻單板在性能方面有突出的表現(xiàn)： ? 轉(zhuǎn)發(fā)性能：每單板支持 10Gbps (256Bytes)的吞吐量 ? 并發(fā)連接數(shù)：每單板達(dá)到 400 萬的并發(fā)連接 ? 每秒新建連接數(shù)：每單板達(dá)到 10 萬 /， ,同級(jí)別產(chǎn)品通常不足 3 萬 ? ACL 匹配速度：采用智能匹配算法，萬條匹配速度和單條速度一致，即 ACL 匹配動(dòng)作不影響防火墻整體轉(zhuǎn)發(fā)性能 華為 S93 系列交換機(jī)集成的防火墻模塊，每單板支持 8Gbps 的轉(zhuǎn)發(fā)能力， 400 萬的并發(fā)連 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計(jì) 第 39 頁(yè) 共 60 頁(yè) 接，每秒鐘 15 萬的新建流速度；并且支持 1K 的虛擬化多實(shí)例。企業(yè)園區(qū)出口位置部署的獨(dú)立防火墻設(shè)備（或核心交換機(jī)內(nèi)置的防火墻模塊），需要滿足高性能、高可靠、高安全的要求，是企業(yè)園區(qū)網(wǎng)的第一道安全屏障。 MAC 學(xué)習(xí)數(shù)目達(dá)到端口 /VLAN 上設(shè)置的閾值時(shí)，會(huì)進(jìn)行丟棄 /轉(zhuǎn)發(fā) /告警等動(dòng)作（動(dòng)作策略可定制、可疊加）。這樣，既防止直連網(wǎng)段掃描攻擊對(duì)交換機(jī)造成影響，又保證正常業(yè)務(wù)流程的暢通。 ? 防 ARP 中間人攻擊 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計(jì) 第 34 頁(yè) 共 60 頁(yè) 圖 57 ARP 中間人攻擊防御 Dynamic ARP Inspection (DAI)在交換機(jī)上基于 DHCP Snooping 技術(shù)提供用戶網(wǎng)關(guān) IP 地址和 MAC 地址、 VLAN 和接入端口的綁定， 并動(dòng)態(tài)建立綁定關(guān)系。 ? MAC 旁路認(rèn)證 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計(jì) 第 31 頁(yè) 共 60 頁(yè) 圖 55 MAC 旁路認(rèn)證流程 MAC 旁路認(rèn)證過程如下： 1) 用戶終端上電，用戶發(fā)起 ARP 或 DHCP 請(qǐng)求等報(bào)文； 2) 園區(qū)交換機(jī)先向用戶終端發(fā)起 EAP 探測(cè)報(bào)文，如果用戶終端已經(jīng)安裝 認(rèn)證客戶端，則觸發(fā)用戶 接入認(rèn)證過程，否則進(jìn)行 MAC 認(rèn)證過程； 3) 認(rèn)證服務(wù)器將攜帶 VLAN 或二三層 ACL 的 Radius 屬性下發(fā)至園區(qū)交換機(jī)，根據(jù)用戶認(rèn)證結(jié)果控制其網(wǎng)絡(luò)訪問權(quán)限； 4) 用戶獲取 IP 地址， NAC 客戶端軟件與策略服務(wù)器聯(lián)動(dòng)，按照預(yù)先定制的安全檢查策略，對(duì)用戶終端健康狀態(tài)進(jìn)行檢查，檢查不通過 Radius COA 下發(fā) VLAN 或 ACL，限制用戶網(wǎng)絡(luò)訪問權(quán)限； 5) 用戶通過 身份認(rèn)證和終端健康檢查后，獲取業(yè)務(wù)網(wǎng)絡(luò)訪問權(quán)限。 網(wǎng)絡(luò)訪問控制設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計(jì) 第 26 頁(yè) 共 60 頁(yè) 5 園區(qū)網(wǎng)絡(luò) 安全方案 規(guī)劃 設(shè)計(jì) 園區(qū)網(wǎng)安全方案總體 規(guī)劃 設(shè)計(jì) 圖 51 園區(qū)網(wǎng)安全方案總體設(shè)計(jì) 從園區(qū)接入、網(wǎng)絡(luò)監(jiān)管 /監(jiān)控、邊界防御、園區(qū)出口傳輸安全等多緯度、多層次進(jìn)行安全設(shè)計(jì)和安全防御，對(duì)內(nèi)部員工進(jìn)行身份認(rèn)證和網(wǎng)絡(luò)訪問權(quán)限控制，對(duì)企業(yè)內(nèi)部進(jìn)行安全區(qū)域劃分、隔離和權(quán)限控制，對(duì)企業(yè)外部用戶訪問進(jìn)行安全控制、數(shù)據(jù)加密，防止惡意攻擊。 多臺(tái)設(shè)備堆疊成一臺(tái)設(shè)備后，從功能和管理方面，都可以作為一臺(tái)設(shè)備來看待。 S93 系列的堆疊帶寬高達(dá) 128G(單向 )；并且可平滑升級(jí)到 200G(單向 )； 相對(duì)于業(yè)界的 80G（單向）的互聯(lián)帶寬，具有明顯的優(yōu)勢(shì)。如下圖所示： 圖 47 集群組網(wǎng)的優(yōu)勢(shì) 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計(jì) 第 22 頁(yè) 共 60 頁(yè) 采用集群技術(shù)，對(duì)企業(yè)園區(qū)網(wǎng)絡(luò)，有四大優(yōu)勢(shì)： 1) 減化管理和配置 首先，集群后需要管理的設(shè)備節(jié)點(diǎn)減少一半以上。 另外，以太網(wǎng)交換機(jī)的 MAC 地址表作為二層報(bào)文轉(zhuǎn)發(fā)的核心，在受到攻擊的時(shí)候，直接導(dǎo)致交換機(jī)無法正常工作。 ? 可靠性設(shè)計(jì)目標(biāo)方案（發(fā)展趨勢(shì)）：園區(qū)網(wǎng)交換機(jī)虛擬化 圖 45 可靠性設(shè)計(jì)目標(biāo)方案組網(wǎng) 園區(qū)網(wǎng)可靠性方案設(shè)計(jì)的目標(biāo)方案或發(fā)展趨勢(shì)是各層次園區(qū)網(wǎng)交換機(jī)都進(jìn)行虛擬化，通過集群 /堆疊技術(shù)將兩臺(tái)或多臺(tái)交換機(jī)虛擬成一臺(tái)交換機(jī)。注意：兩臺(tái)匯聚交換機(jī)鏈路需要保證絕對(duì)可華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計(jì) 第 17 頁(yè) 共 60 頁(yè) 靠，必須采用 TRUNK 鏈路。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計(jì) 第 15 頁(yè) 共 60 頁(yè) 典型園區(qū)網(wǎng)可靠性組網(wǎng)設(shè)計(jì)方案有：口子型組網(wǎng)、三角型組網(wǎng)、 U 子型組網(wǎng)。 本方案的缺點(diǎn)可以通過接入交換機(jī)堆疊 /匯聚交換機(jī)集群（交換機(jī)虛擬化）方案來解決。 匯聚交換機(jī)需要提供高密度的 GE 接口，匯聚接入交換機(jī)的流量，通過 10GE 接口接到核心交換機(jī)，推薦使用 S9300 系列交換機(jī)作為園區(qū)匯聚層交換機(jī)。 圖 34 交換機(jī)集群（堆疊）方案 園區(qū)網(wǎng)絡(luò) 分層網(wǎng)絡(luò) 規(guī)劃 設(shè)計(jì) 園區(qū)網(wǎng)的網(wǎng)絡(luò)層次采用業(yè)界成熟的三層架構(gòu)：接入、匯聚和核心，最后企業(yè)園區(qū)通過出口層網(wǎng)絡(luò)設(shè)備（路由器或交換機(jī)）連接到外網(wǎng)通過。應(yīng)提供低成本、簡(jiǎn)單有效的園區(qū)網(wǎng)統(tǒng)一網(wǎng)管系統(tǒng)，對(duì)園區(qū)網(wǎng)所有網(wǎng)絡(luò)設(shè)備進(jìn)行管理，包括網(wǎng)絡(luò)拓?fù)滹@示、網(wǎng)絡(luò)狀態(tài)監(jiān)控、故 障事件實(shí)時(shí)預(yù)警和告警、網(wǎng)絡(luò)流量統(tǒng)計(jì)。采用冗余網(wǎng)絡(luò)設(shè)計(jì)，每個(gè)層次均采用雙機(jī)方式，層次與層次之間采用全冗余連接。 (四 ) 無法滿足日益增長(zhǎng)的網(wǎng)絡(luò)業(yè)務(wù)需求 ： 隨著企業(yè)的業(yè)務(wù)發(fā)展，出現(xiàn)了基于園區(qū)網(wǎng)基礎(chǔ)設(shè)施的豐富增值業(yè)務(wù)需求，例如：網(wǎng) 絡(luò)接入形式要求多樣化，支持 WLAN 無線接入，滿足移動(dòng)辦公、大區(qū)域無線纜覆蓋等特殊要求；對(duì)于企業(yè)用戶訪問外網(wǎng)進(jìn)行計(jì)費(fèi)，計(jì)費(fèi)策略可靈活設(shè)置（時(shí)長(zhǎng)計(jì)費(fèi)、流量計(jì)費(fèi)、按目的地址計(jì)費(fèi)）；企業(yè)多出口鏈路場(chǎng)景下的負(fù)載均衡、靈活選路需求。 (三 ) 網(wǎng)絡(luò)信息安全存在隱患 ： 網(wǎng)絡(luò)安全性是園區(qū)網(wǎng)建設(shè)的重中之重，傳統(tǒng)園區(qū)網(wǎng)安全漏洞較多，無法應(yīng)對(duì)內(nèi)外部用戶日益猖獗的網(wǎng)絡(luò)攻擊行為（例如：對(duì)園區(qū)網(wǎng)設(shè)備進(jìn)行攻擊、消耗網(wǎng)絡(luò)帶寬、竊取企業(yè)核心電子資產(chǎn)信息），對(duì)于內(nèi)部和外部用戶缺乏有效的身份認(rèn)證手段、用戶可隨意接入網(wǎng)絡(luò)，網(wǎng)絡(luò)層面的安全保證和防御措施也不到位，造成園區(qū)網(wǎng)的脆弱和易攻擊。 關(guān)鍵設(shè)備均采用電信級(jí)全冗余設(shè)計(jì)，可實(shí)現(xiàn)單板熱拔插、冗余的控制模塊設(shè)計(jì)、冗余電源設(shè)計(jì)。 (四 ) 可維護(hù)、可管理性 ： 網(wǎng)絡(luò)可管理性是園區(qū)網(wǎng)成功運(yùn)維的基礎(chǔ)。 園區(qū)網(wǎng)接入層 /匯聚層 /核心層交換機(jī)虛擬化后，可以減少網(wǎng)絡(luò)節(jié)點(diǎn)、簡(jiǎn)化網(wǎng)絡(luò)拓?fù)?，二層網(wǎng)絡(luò)不需要部署 RSTP/MSTP/RRPP/Smart Link 等復(fù)雜的環(huán)網(wǎng)協(xié)議和可靠性保護(hù)協(xié)議，實(shí)現(xiàn)無二層環(huán)路網(wǎng)絡(luò)構(gòu)建，提高二層網(wǎng)絡(luò)可靠性和鏈路故障收斂性能，三層網(wǎng)絡(luò)虛擬化的多臺(tái)設(shè)備間路由表統(tǒng)一計(jì)算、路 由收斂速度快， 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò) 架構(gòu)規(guī)劃設(shè)計(jì) 第 10 頁(yè) 共 60 頁(yè) 通過交換機(jī)虛擬化設(shè)計(jì)，交換機(jī)互聯(lián)的兩條鏈路就可以作為 Trunk 鏈路進(jìn)行管理，對(duì)于虛擬交換機(jī)而言，實(shí)現(xiàn)跨設(shè)備的鏈路聚合（ TRUNK），大大增強(qiáng)鏈路可靠性，另 外可實(shí)現(xiàn)鏈路的流量負(fù)載均衡，構(gòu)建無二層環(huán)路網(wǎng)絡(luò)，網(wǎng)絡(luò)可靠性（鏈路故障自收斂性能）和帶寬利用率都得到提高。 根據(jù)需要，可以在匯聚交換機(jī)上集成增值業(yè)務(wù)板卡（如防火墻，負(fù)載均衡器、 WLAN AC控制器）或者旁掛獨(dú)立的 增值業(yè)務(wù)設(shè)備，為園區(qū)網(wǎng)用戶提供增值業(yè)務(wù)。 【優(yōu)點(diǎn)】 1) 接入交換機(jī)是二層交換機(jī)，成本低，并且可保護(hù)客戶現(xiàn)有低端二層交換機(jī)的投資； 2) 高可靠性，二層網(wǎng)絡(luò)故障收斂速度快； 【缺點(diǎn)】 1) 接入交換機(jī)和匯聚交換機(jī)之間存在二層環(huán)路風(fēng)險(xiǎn)，需要配置保證； 2) 接入交換機(jī)與匯聚交換機(jī)之間鏈路利用率低，需要啟用二層協(xié)議負(fù)載均擔(dān)多實(shí)例以提高鏈路利用率。 園區(qū)網(wǎng)接入 /匯聚 /核心 交換機(jī)通過虛擬化技術(shù)進(jìn)行集群（或堆疊），將兩臺(tái) /多臺(tái)交換機(jī)虛擬化成一臺(tái)交換機(jī)，降低網(wǎng)絡(luò)拓?fù)鋸?fù)雜度的同時(shí)，提高網(wǎng)絡(luò)可靠性，是未來高可靠性園區(qū)網(wǎng)的發(fā)展趨勢(shì)。兩臺(tái)匯聚交換機(jī)運(yùn)行 VRRP（ BFD+VRRP）協(xié)議確定主備用戶網(wǎng)關(guān)，VRRP 報(bào)文直接在匯聚交換機(jī)直連鏈路上收發(fā)。 U 子型方案的優(yōu)點(diǎn)：二層接入網(wǎng)不存在環(huán)路，不需要配置相對(duì)復(fù)雜的環(huán)網(wǎng)保護(hù)協(xié)議（ STP/RSTP/MSTP/RRPP）。 華為全系列交換機(jī)支持的攻擊防范功能包括防 DDOS 攻擊、 IP 欺騙攻擊、 Land 攻擊、Ping of Death 攻擊、 Teardrop 攻擊、 ICMP Flood 攻擊、 SYN FLOOD 攻擊等。 因?yàn)槠髽I(yè)園區(qū)網(wǎng)為了增加可靠性，都是雙節(jié)點(diǎn)備份，特別適合集群技術(shù)。如下圖所示，這種方式有如下的優(yōu)勢(shì)： 圖 49 華為 CSS 集群技術(shù) 采用交換機(jī)網(wǎng)集群的方式，相比接口板集群，有如下的優(yōu)勢(shì)： ? 堆疊帶寬高 交換機(jī)網(wǎng)集群一般采用專用的接口線，堆疊帶寬高。一個(gè)園區(qū)網(wǎng)用戶上行的 2 個(gè)網(wǎng)絡(luò)接口，對(duì)于堆疊后的設(shè)備，可以看作 Trunk 接口。因此，iStack 技術(shù)能夠通過多個(gè)單機(jī)設(shè)備的堆疊，輕易的將設(shè)備的交換能力、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高了設(shè)備的性能。 ? 實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì) 。 ? 用戶 MAC認(rèn)證 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計(jì) 第 30 頁(yè) 共 60 頁(yè) 圖 54 MAC 認(rèn)證流程 用戶 MAC認(rèn)證過程如下： 1) 用戶終端上電（無 認(rèn)證客戶端），用戶發(fā)起 ARP 或 DHCP 請(qǐng)求 等報(bào)文； 2) 園區(qū)交換機(jī)收到用戶終端的數(shù)據(jù)報(bào)文，觸發(fā) Radius 認(rèn)證請(qǐng)求至認(rèn)證服務(wù)器，根據(jù)MAC 地址生成用戶名和密碼； 3) 認(rèn)證服務(wù)器將攜帶 VLAN 或二三層 ACL 的 Radius 屬性下發(fā)至園區(qū)交換機(jī)，根據(jù)用戶認(rèn)證結(jié)果控制其網(wǎng)絡(luò)訪問權(quán)限； 4) 用戶獲取 IP 地址， NAC 客戶端軟件與策略服務(wù)器聯(lián)動(dòng)，按照預(yù)先定制的安全檢查策略，對(duì)用戶終端健康狀態(tài)進(jìn)行檢查，檢查不通過 Radius COA 下發(fā) VLAN 或 ACL，限制用戶網(wǎng)絡(luò)訪問權(quán)限； 5) 用戶通過 身份認(rèn)證和終端健康檢查后，獲取業(yè)務(wù)網(wǎng)絡(luò)訪問權(quán)限。這樣，可以完成交換機(jī)對(duì)假冒 DHCP Server 的屏蔽作用，確保客戶端從合法的 DHCP Server 獲取 IP 地址。如果有 ARP 應(yīng)答，則立即刪除相應(yīng)的丟棄表項(xiàng)，并添加正常的路由表項(xiàng)；否則，經(jīng)過一段時(shí)間后丟棄表項(xiàng)自動(dòng)老化。 交換機(jī)二層 MAC 轉(zhuǎn)發(fā)表是全局共享資源，單板內(nèi)各端口 /VLAN 共享一份 MAC 轉(zhuǎn)發(fā)表，華為園區(qū)交換機(jī)支持基于端口 /VLAN的 MAC學(xué)習(xí)數(shù)目限制，同時(shí)支持 MAC表學(xué)習(xí)速率限制，有效防御 MAC 地址掃描攻擊行為。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計(jì) 第 37 頁(yè) 共 60 頁(yè) 園區(qū)出口連接 Inter 和企業(yè) WAN 網(wǎng)的接入，企業(yè)外部 網(wǎng)絡(luò) 尤其 Inter 網(wǎng)絡(luò)，是各種攻擊行為、病毒傳播、安全事件引入的風(fēng)險(xiǎn)點(diǎn)，通過在企業(yè)出口部署高性能防火墻設(shè)備、或者在核心交換機(jī)內(nèi)置防火墻模塊，可以很好的緩解風(fēng)險(xiǎn)的傳播，阻擋來自 Inter/企業(yè)外部網(wǎng)絡(luò)攻擊行為的發(fā)生。 防火墻性能選擇 園區(qū)網(wǎng)防火墻的選擇首先是安全防護(hù)能力，對(duì)于每秒新建連接數(shù)，并發(fā)連接數(shù)和吞吐量， ACL 匹配速度， DDOS 識(shí)別均要進(jìn)行重點(diǎn)考察。 NAT Server 方式就可以解決這個(gè)問 題 —— 通過靜態(tài)配置“公網(wǎng) IP 地址＋端口號(hào)”與“私網(wǎng) IP 地址＋端口號(hào)”間的映射關(guān)系， NAT 設(shè)備可以將公網(wǎng)地址“反向”轉(zhuǎn)換成私網(wǎng)地址。 ? 交換機(jī) 針對(duì)部分小型園區(qū)網(wǎng)，可采用華為 S9300 交換機(jī)作為園區(qū)出口設(shè)備，考慮到降低設(shè)備投資成本，園區(qū)出口設(shè)備和核心交換機(jī)可以合一，通過 S9300的 WAN接口板提供 POS/GE/10GE等廣域網(wǎng)接口與企業(yè)外部網(wǎng)絡(luò)互聯(lián)，同時(shí) S9300 作為園區(qū)核心交換機(jī)，下連各個(gè)匯聚交換機(jī)， S9300 通過增值