【正文】 系統(tǒng)方案 規(guī)劃 設(shè)計 網(wǎng)管系統(tǒng)概述 網(wǎng)管系統(tǒng) 提供了“無縫式 IT 運維管理”功能，其系統(tǒng)架構(gòu)清晰，采用模塊化的設(shè)計理念，各功能模塊既可獨立運行、松散耦合；亦可整體功能無縫銜接覆蓋整個業(yè)務(wù)系統(tǒng)，靈活的自由組合真正實現(xiàn)個性化的 IT 無憂運維。 在部署 NAT 時，需要考慮應(yīng)用級 ALG， 因為通常情況下， NAT 只改變 IP 報文頭部地址信息，而不對報文載荷進行分析，這對于普通的應(yīng)用層協(xié)議（如 Tel）來說，并不會影響其業(yè)務(wù)的開展；然而有一些應(yīng)用層協(xié)議，其報文載荷中可能也攜帶有數(shù)據(jù)通道的地址或端口信息，若這些信息不能被有效轉(zhuǎn)換，就可能導(dǎo)致問題。 防火墻的性能主要取決于以下參數(shù)： ? 轉(zhuǎn)發(fā)性能：從吞吐量方面考慮 ,決定設(shè)備的防護性能 ? 并發(fā)連接數(shù)： 從數(shù)據(jù)流數(shù)目方面考慮 ,決定設(shè)備的防護性能 ? 每秒新建連接數(shù)：決定單位時間的防護能力 ? ACL 匹配速度：決定規(guī)則匹配的可靠和性能 華為 S93 系列集成的防火墻單板在性能方面有突出的表現(xiàn)： ? 轉(zhuǎn)發(fā)性能：每單板支持 10Gbps (256Bytes)的吞吐量 ? 并發(fā)連接數(shù)：每單板達(dá)到 400 萬的并發(fā)連接 ? 每秒新建連接數(shù)：每單板達(dá)到 10 萬 /， ,同級別產(chǎn)品通常不足 3 萬 ? ACL 匹配速度：采用智能匹配算法，萬條匹配速度和單條速度一致，即 ACL 匹配動作不影響防火墻整體轉(zhuǎn)發(fā)性能 華為 S93 系列交換機集成的防火墻模塊，每單板支持 8Gbps 的轉(zhuǎn)發(fā)能力， 400 萬的并發(fā)連 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計 第 39 頁 共 60 頁 接，每秒鐘 15 萬的新建流速度；并且支持 1K 的虛擬化多實例。企業(yè)園區(qū)出口位置部署的獨立防火墻設(shè)備（或核心交換機內(nèi)置的防火墻模塊），需要滿足高性能、高可靠、高安全的要求，是企業(yè)園區(qū)網(wǎng)的第一道安全屏障。 MAC 學(xué)習(xí)數(shù)目達(dá)到端口 /VLAN 上設(shè)置的閾值時，會進行丟棄 /轉(zhuǎn)發(fā) /告警等動作（動作策略可定制、可疊加）。這樣，既防止直連網(wǎng)段掃描攻擊對交換機造成影響，又保證正常業(yè)務(wù)流程的暢通。 ? 防 ARP 中間人攻擊 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計 第 34 頁 共 60 頁 圖 57 ARP 中間人攻擊防御 Dynamic ARP Inspection (DAI)在交換機上基于 DHCP Snooping 技術(shù)提供用戶網(wǎng)關(guān) IP 地址和 MAC 地址、 VLAN 和接入端口的綁定， 并動態(tài)建立綁定關(guān)系。 ? MAC 旁路認(rèn)證 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計 第 31 頁 共 60 頁 圖 55 MAC 旁路認(rèn)證流程 MAC 旁路認(rèn)證過程如下： 1) 用戶終端上電，用戶發(fā)起 ARP 或 DHCP 請求等報文； 2) 園區(qū)交換機先向用戶終端發(fā)起 EAP 探測報文，如果用戶終端已經(jīng)安裝 認(rèn)證客戶端，則觸發(fā)用戶 接入認(rèn)證過程，否則進行 MAC 認(rèn)證過程； 3) 認(rèn)證服務(wù)器將攜帶 VLAN 或二三層 ACL 的 Radius 屬性下發(fā)至園區(qū)交換機，根據(jù)用戶認(rèn)證結(jié)果控制其網(wǎng)絡(luò)訪問權(quán)限； 4) 用戶獲取 IP 地址， NAC 客戶端軟件與策略服務(wù)器聯(lián)動，按照預(yù)先定制的安全檢查策略，對用戶終端健康狀態(tài)進行檢查，檢查不通過 Radius COA 下發(fā) VLAN 或 ACL，限制用戶網(wǎng)絡(luò)訪問權(quán)限； 5) 用戶通過 身份認(rèn)證和終端健康檢查后，獲取業(yè)務(wù)網(wǎng)絡(luò)訪問權(quán)限。 網(wǎng)絡(luò)訪問控制設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實施點，起到強制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計 第 26 頁 共 60 頁 5 園區(qū)網(wǎng)絡(luò) 安全方案 規(guī)劃 設(shè)計 園區(qū)網(wǎng)安全方案總體 規(guī)劃 設(shè)計 圖 51 園區(qū)網(wǎng)安全方案總體設(shè)計 從園區(qū)接入、網(wǎng)絡(luò)監(jiān)管 /監(jiān)控、邊界防御、園區(qū)出口傳輸安全等多緯度、多層次進行安全設(shè)計和安全防御，對內(nèi)部員工進行身份認(rèn)證和網(wǎng)絡(luò)訪問權(quán)限控制，對企業(yè)內(nèi)部進行安全區(qū)域劃分、隔離和權(quán)限控制，對企業(yè)外部用戶訪問進行安全控制、數(shù)據(jù)加密，防止惡意攻擊。 多臺設(shè)備堆疊成一臺設(shè)備后，從功能和管理方面，都可以作為一臺設(shè)備來看待。 S93 系列的堆疊帶寬高達(dá) 128G(單向 )；并且可平滑升級到 200G(單向 )； 相對于業(yè)界的 80G（單向）的互聯(lián)帶寬，具有明顯的優(yōu)勢。如下圖所示： 圖 47 集群組網(wǎng)的優(yōu)勢 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 22 頁 共 60 頁 采用集群技術(shù)，對企業(yè)園區(qū)網(wǎng)絡(luò)，有四大優(yōu)勢： 1) 減化管理和配置 首先，集群后需要管理的設(shè)備節(jié)點減少一半以上。 另外，以太網(wǎng)交換機的 MAC 地址表作為二層報文轉(zhuǎn)發(fā)的核心，在受到攻擊的時候，直接導(dǎo)致交換機無法正常工作。 ? 可靠性設(shè)計目標(biāo)方案（發(fā)展趨勢）：園區(qū)網(wǎng)交換機虛擬化 圖 45 可靠性設(shè)計目標(biāo)方案組網(wǎng) 園區(qū)網(wǎng)可靠性方案設(shè)計的目標(biāo)方案或發(fā)展趨勢是各層次園區(qū)網(wǎng)交換機都進行虛擬化，通過集群 /堆疊技術(shù)將兩臺或多臺交換機虛擬成一臺交換機。注意：兩臺匯聚交換機鏈路需要保證絕對可華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 17 頁 共 60 頁 靠，必須采用 TRUNK 鏈路。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計 第 15 頁 共 60 頁 典型園區(qū)網(wǎng)可靠性組網(wǎng)設(shè)計方案有：口子型組網(wǎng)、三角型組網(wǎng)、 U 子型組網(wǎng)。 本方案的缺點可以通過接入交換機堆疊 /匯聚交換機集群（交換機虛擬化）方案來解決。 匯聚交換機需要提供高密度的 GE 接口，匯聚接入交換機的流量，通過 10GE 接口接到核心交換機，推薦使用 S9300 系列交換機作為園區(qū)匯聚層交換機。 圖 34 交換機集群（堆疊）方案 園區(qū)網(wǎng)絡(luò) 分層網(wǎng)絡(luò) 規(guī)劃 設(shè)計 園區(qū)網(wǎng)的網(wǎng)絡(luò)層次采用業(yè)界成熟的三層架構(gòu)：接入、匯聚和核心，最后企業(yè)園區(qū)通過出口層網(wǎng)絡(luò)設(shè)備（路由器或交換機）連接到外網(wǎng)通過。應(yīng)提供低成本、簡單有效的園區(qū)網(wǎng)統(tǒng)一網(wǎng)管系統(tǒng)，對園區(qū)網(wǎng)所有網(wǎng)絡(luò)設(shè)備進行管理，包括網(wǎng)絡(luò)拓?fù)滹@示、網(wǎng)絡(luò)狀態(tài)監(jiān)控、故 障事件實時預(yù)警和告警、網(wǎng)絡(luò)流量統(tǒng)計。采用冗余網(wǎng)絡(luò)設(shè)計，每個層次均采用雙機方式，層次與層次之間采用全冗余連接。 (四 ) 無法滿足日益增長的網(wǎng)絡(luò)業(yè)務(wù)需求 ： 隨著企業(yè)的業(yè)務(wù)發(fā)展，出現(xiàn)了基于園區(qū)網(wǎng)基礎(chǔ)設(shè)施的豐富增值業(yè)務(wù)需求，例如：網(wǎng) 絡(luò)接入形式要求多樣化，支持 WLAN 無線接入，滿足移動辦公、大區(qū)域無線纜覆蓋等特殊要求；對于企業(yè)用戶訪問外網(wǎng)進行計費，計費策略可靈活設(shè)置（時長計費、流量計費、按目的地址計費）；企業(yè)多出口鏈路場景下的負(fù)載均衡、靈活選路需求。 (三 ) 網(wǎng)絡(luò)信息安全存在隱患 ： 網(wǎng)絡(luò)安全性是園區(qū)網(wǎng)建設(shè)的重中之重，傳統(tǒng)園區(qū)網(wǎng)安全漏洞較多，無法應(yīng)對內(nèi)外部用戶日益猖獗的網(wǎng)絡(luò)攻擊行為（例如：對園區(qū)網(wǎng)設(shè)備進行攻擊、消耗網(wǎng)絡(luò)帶寬、竊取企業(yè)核心電子資產(chǎn)信息），對于內(nèi)部和外部用戶缺乏有效的身份認(rèn)證手段、用戶可隨意接入網(wǎng)絡(luò)，網(wǎng)絡(luò)層面的安全保證和防御措施也不到位，造成園區(qū)網(wǎng)的脆弱和易攻擊。 關(guān)鍵設(shè)備均采用電信級全冗余設(shè)計，可實現(xiàn)單板熱拔插、冗余的控制模塊設(shè)計、冗余電源設(shè)計。 (四 ) 可維護、可管理性 ： 網(wǎng)絡(luò)可管理性是園區(qū)網(wǎng)成功運維的基礎(chǔ)。 園區(qū)網(wǎng)接入層 /匯聚層 /核心層交換機虛擬化后，可以減少網(wǎng)絡(luò)節(jié)點、簡化網(wǎng)絡(luò)拓?fù)洌泳W(wǎng)絡(luò)不需要部署 RSTP/MSTP/RRPP/Smart Link 等復(fù)雜的環(huán)網(wǎng)協(xié)議和可靠性保護協(xié)議，實現(xiàn)無二層環(huán)路網(wǎng)絡(luò)構(gòu)建，提高二層網(wǎng)絡(luò)可靠性和鏈路故障收斂性能，三層網(wǎng)絡(luò)虛擬化的多臺設(shè)備間路由表統(tǒng)一計算、路 由收斂速度快， 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò) 架構(gòu)規(guī)劃設(shè)計 第 10 頁 共 60 頁 通過交換機虛擬化設(shè)計，交換機互聯(lián)的兩條鏈路就可以作為 Trunk 鏈路進行管理，對于虛擬交換機而言，實現(xiàn)跨設(shè)備的鏈路聚合（ TRUNK），大大增強鏈路可靠性，另 外可實現(xiàn)鏈路的流量負(fù)載均衡，構(gòu)建無二層環(huán)路網(wǎng)絡(luò)，網(wǎng)絡(luò)可靠性（鏈路故障自收斂性能）和帶寬利用率都得到提高。 根據(jù)需要，可以在匯聚交換機上集成增值業(yè)務(wù)板卡（如防火墻，負(fù)載均衡器、 WLAN AC控制器）或者旁掛獨立的 增值業(yè)務(wù)設(shè)備，為園區(qū)網(wǎng)用戶提供增值業(yè)務(wù)。 【優(yōu)點】 1) 接入交換機是二層交換機，成本低，并且可保護客戶現(xiàn)有低端二層交換機的投資； 2) 高可靠性，二層網(wǎng)絡(luò)故障收斂速度快； 【缺點】 1) 接入交換機和匯聚交換機之間存在二層環(huán)路風(fēng)險，需要配置保證； 2) 接入交換機與匯聚交換機之間鏈路利用率低，需要啟用二層協(xié)議負(fù)載均擔(dān)多實例以提高鏈路利用率。 園區(qū)網(wǎng)接入 /匯聚 /核心 交換機通過虛擬化技術(shù)進行集群（或堆疊），將兩臺 /多臺交換機虛擬化成一臺交換機，降低網(wǎng)絡(luò)拓?fù)鋸?fù)雜度的同時，提高網(wǎng)絡(luò)可靠性，是未來高可靠性園區(qū)網(wǎng)的發(fā)展趨勢。兩臺匯聚交換機運行 VRRP（ BFD+VRRP）協(xié)議確定主備用戶網(wǎng)關(guān)，VRRP 報文直接在匯聚交換機直連鏈路上收發(fā)。 U 子型方案的優(yōu)點：二層接入網(wǎng)不存在環(huán)路，不需要配置相對復(fù)雜的環(huán)網(wǎng)保護協(xié)議（ STP/RSTP/MSTP/RRPP）。 華為全系列交換機支持的攻擊防范功能包括防 DDOS 攻擊、 IP 欺騙攻擊、 Land 攻擊、Ping of Death 攻擊、 Teardrop 攻擊、 ICMP Flood 攻擊、 SYN FLOOD 攻擊等。 因為企業(yè)園區(qū)網(wǎng)為了增加可靠性，都是雙節(jié)點備份，特別適合集群技術(shù)。如下圖所示，這種方式有如下的優(yōu)勢： 圖 49 華為 CSS 集群技術(shù) 采用交換機網(wǎng)集群的方式，相比接口板集群，有如下的優(yōu)勢： ? 堆疊帶寬高 交換機網(wǎng)集群一般采用專用的接口線，堆疊帶寬高。一個園區(qū)網(wǎng)用戶上行的 2 個網(wǎng)絡(luò)接口，對于堆疊后的設(shè)備，可以看作 Trunk 接口。因此，iStack 技術(shù)能夠通過多個單機設(shè)備的堆疊，輕易的將設(shè)備的交換能力、用戶端口的密度擴大數(shù)倍，從而大幅度提高了設(shè)備的性能。 ? 實時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時上報到安全策略服務(wù)器，用于事后進行安全審計 。 ? 用戶 MAC認(rèn)證 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計 第 30 頁 共 60 頁 圖 54 MAC 認(rèn)證流程 用戶 MAC認(rèn)證過程如下： 1) 用戶終端上電（無 認(rèn)證客戶端），用戶發(fā)起 ARP 或 DHCP 請求 等報文； 2) 園區(qū)交換機收到用戶終端的數(shù)據(jù)報文，觸發(fā) Radius 認(rèn)證請求至認(rèn)證服務(wù)器，根據(jù)MAC 地址生成用戶名和密碼； 3) 認(rèn)證服務(wù)器將攜帶 VLAN 或二三層 ACL 的 Radius 屬性下發(fā)至園區(qū)交換機，根據(jù)用戶認(rèn)證結(jié)果控制其網(wǎng)絡(luò)訪問權(quán)限； 4) 用戶獲取 IP 地址， NAC 客戶端軟件與策略服務(wù)器聯(lián)動，按照預(yù)先定制的安全檢查策略，對用戶終端健康狀態(tài)進行檢查，檢查不通過 Radius COA 下發(fā) VLAN 或 ACL，限制用戶網(wǎng)絡(luò)訪問權(quán)限； 5) 用戶通過 身份認(rèn)證和終端健康檢查后，獲取業(yè)務(wù)網(wǎng)絡(luò)訪問權(quán)限。這樣，可以完成交換機對假冒 DHCP Server 的屏蔽作用，確?？蛻舳藦暮戏ǖ?DHCP Server 獲取 IP 地址。如果有 ARP 應(yīng)答，則立即刪除相應(yīng)的丟棄表項，并添加正常的路由表項；否則，經(jīng)過一段時間后丟棄表項自動老化。 交換機二層 MAC 轉(zhuǎn)發(fā)表是全局共享資源，單板內(nèi)各端口 /VLAN 共享一份 MAC 轉(zhuǎn)發(fā)表，華為園區(qū)交換機支持基于端口 /VLAN的 MAC學(xué)習(xí)數(shù)目限制，同時支持 MAC表學(xué)習(xí)速率限制，有效防御 MAC 地址掃描攻擊行為。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計 第 37 頁 共 60 頁 園區(qū)出口連接 Inter 和企業(yè) WAN 網(wǎng)的接入，企業(yè)外部 網(wǎng)絡(luò) 尤其 Inter 網(wǎng)絡(luò)，是各種攻擊行為、病毒傳播、安全事件引入的風(fēng)險點，通過在企業(yè)出口部署高性能防火墻設(shè)備、或者在核心交換機內(nèi)置防火墻模塊，可以很好的緩解風(fēng)險的傳播，阻擋來自 Inter/企業(yè)外部網(wǎng)絡(luò)攻擊行為的發(fā)生。 防火墻性能選擇 園區(qū)網(wǎng)防火墻的選擇首先是安全防護能力，對于每秒新建連接數(shù)，并發(fā)連接數(shù)和吞吐量， ACL 匹配速度， DDOS 識別均要進行重點考察。 NAT Server 方式就可以解決這個問 題 —— 通過靜態(tài)配置“公網(wǎng) IP 地址＋端口號”與“私網(wǎng) IP 地址＋端口號”間的映射關(guān)系， NAT 設(shè)備可以將公網(wǎng)地址“反向”轉(zhuǎn)換成私網(wǎng)地址。 ? 交換機 針對部分小型園區(qū)網(wǎng)，可采用華為 S9300 交換機作為園區(qū)出口設(shè)備，考慮到降低設(shè)備投資成本，園區(qū)出口設(shè)備和核心交換機可以合一，通過 S9300的 WAN接口板提供 POS/GE/10GE等廣域網(wǎng)接口與企業(yè)外部網(wǎng)絡(luò)互聯(lián)，同時 S9300 作為園區(qū)核心交換機，下連各個匯聚交換機， S9300 通過增值