【正文】 ) 修復(fù)——與第三方服務(wù)器中的補丁服務(wù)器、病毒服務(wù)器等形成聯(lián)動。 系統(tǒng)QoS設(shè)計 QoS部署原則在具體的QoS部署方案中，要充分考慮以下原則：a) 簡單性：結(jié)合用戶業(yè)務(wù)及網(wǎng)絡(luò)拓撲，采用最符合用戶需求的、最易實現(xiàn)的QoS解決方案。上圖形象的說明了分層QoS解決多用戶的多業(yè)務(wù)帶寬保證原理，接口就像一個大的水管，每個用戶從大管子中分一個小管子，大管子就能對小管子進行流量管理，而每個用戶又對其自己的小管子再細分出不同的流，對不同的流進行不同的處理。SR8800的Crossbar交換網(wǎng)支持VOQ和E2E流控技術(shù)，可有效避免報文的頭阻塞（HOL），并且在Crossbar上實現(xiàn)了報文的“區(qū)分服務(wù)”。優(yōu)先級分類針對郵政的應(yīng)用情況，可以把需要使用QOS的各種應(yīng)用劃分為5類：l 視頻/語音： 這類數(shù)據(jù)對延時也非常敏感，但屬于多媒體業(yè)務(wù)，可以定義為最高優(yōu)先級；l 營業(yè)類實時業(yè)務(wù)： 這類數(shù)據(jù)的特點是交易包長度固定，交易時限要求實時，上下行數(shù)據(jù)流量基本對等，因為是網(wǎng)絡(luò)中的關(guān)鍵應(yīng)用，所以應(yīng)定義為次優(yōu)先級；l 營業(yè)類報表業(yè)務(wù)： 這類數(shù)據(jù)的特點是數(shù)據(jù)流量大，網(wǎng)絡(luò)要求實時性不高，定時傳輸。 高可用性。網(wǎng)絡(luò)基礎(chǔ)設(shè)計的安全性，設(shè)計到企業(yè)的核心數(shù)據(jù)安全。216。數(shù)據(jù)中心中的服務(wù)器將會根據(jù)服務(wù)器上的應(yīng)用的用戶訪問特性和應(yīng)用的核心功能分成不同組部署在不同的區(qū)域中，但是由于整個數(shù)據(jù)中心的很多服務(wù)是統(tǒng)一提供的，例如數(shù)據(jù)備份和系統(tǒng)管理，所以為保持架構(gòu)的統(tǒng)一性，避免資源不必要的重復(fù)浪費，一些功能相似的服務(wù)將統(tǒng)一部署在特定的功能區(qū)域內(nèi)，例如與管理相關(guān)的服務(wù)器將被部署在管理區(qū)。2. 數(shù)據(jù)中心服務(wù)器區(qū)分層、分級設(shè)計思想對于數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)而言，無論是采用服務(wù)器扁平部署模式還是服務(wù)器多級部署模式，都可以將網(wǎng)絡(luò)按照經(jīng)典的三層結(jié)構(gòu)（接入層、匯聚層、核心層）進行部署。這些L4－L7服務(wù)設(shè)備可以采用獨立的盒式設(shè)備或者采用匯聚交換機上服務(wù)模塊（板卡）。萬兆核心網(wǎng)絡(luò)為數(shù)據(jù)中心提供了更高效、快速、可靠的數(shù)據(jù)交換網(wǎng)絡(luò)。每個上行鏈接VLAN都在兩個交換機中配置。當任何一個電源故障時，那么另外一個能夠保證交換機的繼續(xù)運行。前提是每個VLAN在兩臺交換機上都有配置，而且每個分區(qū)的邊緣設(shè)備都上連到CoreSW1和CoreSW2交換機上。1. 物理設(shè)備和鏈路分區(qū)中包含了兩臺互連的匯聚交換機，成對部署的接入交換機，和相應(yīng)的服務(wù)器。接入層設(shè)備可以應(yīng)用智能堆疊（IRF）技術(shù)增強接入設(shè)備的端口密度和可靠性。服務(wù)器間部署應(yīng)用優(yōu)化設(shè)備可實現(xiàn)多級服務(wù)器之間的流量分擔，以減少服務(wù)器的負載。到核心分區(qū)的上連端口支持10Gbps的傳輸速度。 采用服務(wù)器分層多級部署：建議采用服務(wù)器分層多級部署方案，以提高網(wǎng)絡(luò)對業(yè)務(wù)系統(tǒng)擴展性和靈活性5. 安全性安全部署主要包括各服務(wù)器區(qū)的訪問控制以及數(shù)據(jù)中心廣域網(wǎng)接入?yún)^(qū)或互聯(lián)網(wǎng)接入?yún)^(qū)的安全控制?；诠收显虻姆诸悾瑪?shù)據(jù)中心設(shè)計和設(shè)備選擇上要做如下考慮：1. 采用 “分區(qū)”理念，從網(wǎng)絡(luò)構(gòu)架上保證數(shù)據(jù)中心高可用性和故障隔離。216。216。一個虛擬網(wǎng)關(guān)由一個主設(shè)備（Master）和若干個備份設(shè)備（Backup）組成，主設(shè)備實現(xiàn)真正的轉(zhuǎn)發(fā)功能。這些業(yè)務(wù)通常由一些諸如HTTP，F(xiàn)TP，NFS，Telnet等協(xié)議來表示，而協(xié)議的類型由TCP或UDP端口地址來決定。高層由于和應(yīng)用相關(guān)，這時候的交換就有了智能性，交換機具有了區(qū)別各種高層應(yīng)用和識別內(nèi)容的能力。 數(shù)據(jù)中心面對的安全挑戰(zhàn)面向應(yīng)用層的攻擊常見的應(yīng)用攻擊包括惡意蠕蟲、病毒、緩沖溢出代碼、后門木馬等，最典型的應(yīng)用攻擊莫過于“蠕蟲”。對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊數(shù)據(jù)中心象一座擁有巨大財富的城堡，然而堅固的堡壘最容易從內(nèi)部被攻破，來自數(shù)據(jù)中心內(nèi)部的攻擊也更具破壞性。它可保護數(shù)據(jù)中心中關(guān)鍵應(yīng)用和保密數(shù)據(jù)；增強數(shù)據(jù)中心的運營效率，并迅速創(chuàng)建新的安全應(yīng)用環(huán)境來支持新的業(yè)務(wù)流程。第七層交換技術(shù)可以定義為數(shù)據(jù)包的傳送不僅僅依據(jù)MAC地址（第二層交換）或源/目標IP地址（第三層路由）以及TCP/UDP端口（第四層地址），而是可以根據(jù)內(nèi)容（表示/應(yīng)用層）進行傳送。傳輸層有很多的協(xié)議，常用的有TCP,UDP協(xié)議。為了使VRRP工作，首先要創(chuàng)建一個虛擬IP地址和MAC地址，這樣在這個網(wǎng)絡(luò)中就加入了一個虛擬網(wǎng)關(guān)。216。216。通過建設(shè)生產(chǎn)中心、本地備份中心和異地容災(zāi)中心，即“兩地三中心”模式，通過良好的整體規(guī)劃設(shè)計，保證不可控因素影響下數(shù)據(jù)中心的高可用，保證故障情況下業(yè)務(wù)系統(tǒng)的持續(xù)。 業(yè)務(wù)板卡的擴展：在匯聚交換機上增加相應(yīng)的業(yè)務(wù)板卡以滿足新增業(yè)務(wù)需求。④ 將VRRP＋MSTP做為高可用最佳組合方式。服務(wù)器分層多級部署方案如下圖所示，該方案有利于提高網(wǎng)絡(luò)對業(yè)務(wù)系統(tǒng)擴展性和靈活性。為了前端網(wǎng)絡(luò)結(jié)構(gòu)更加緊湊高效，部分設(shè)備可以采用插卡方式實現(xiàn)，如插卡式防火墻，插卡式IPS，插卡式應(yīng)用優(yōu)化設(shè)備，插卡負載均衡設(shè)備。 內(nèi)網(wǎng)服務(wù)器區(qū)設(shè)計說明內(nèi)網(wǎng)服務(wù)器區(qū)是企業(yè)主要業(yè)務(wù)系統(tǒng)的運行平臺，承載著企業(yè)的核心業(yè)務(wù)，具有系統(tǒng)復(fù)雜、重要性極高、訪問頻繁、業(yè)務(wù)流量大、安全要求高、管理控制策略復(fù)雜等諸多特點，因此，內(nèi)網(wǎng)服務(wù)器區(qū)的設(shè)計必須要做到：l 高性能：萬兆核心、無收斂、吞吐量高、快速響應(yīng)、服務(wù)器負載均衡，確保大流量突發(fā)情況下不丟包；l 高可用：網(wǎng)絡(luò)采用全冗余設(shè)計，對各種故障和誤操作具有良好的魯棒性；l 高安全：對各種訪問做到精細控制，防止各種非法和越權(quán)訪問；l 易于管理：各種控制和隔離策略要靈活部署，做到對網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、存儲等系統(tǒng)的全面管理，同時管理數(shù)據(jù)流與業(yè)務(wù)數(shù)據(jù)流保持隔離。數(shù)據(jù)中心核心區(qū)的擴展分為核心設(shè)備上板卡的擴展以及核心區(qū)整個設(shè)備的擴展：4. 交換機的機箱。2. 交換機電源。每個區(qū)交換機將使用單獨的VLAN，VLAN跨越兩個交換機，上行鏈接到核心。核心的作用就是未各個區(qū)域提供無阻塞的高速轉(zhuǎn)發(fā)，對于各區(qū)域之間的訪問控制策略建議部署在各區(qū)域匯聚交換機或邊界防火墻上。服務(wù)器區(qū)網(wǎng)絡(luò)拓撲中，匯聚層為多個服務(wù)器接入層模塊（交換機）提供流量匯聚功能，匯聚層的一個重要的角色是做為WEB層服務(wù)器的網(wǎng)關(guān)。在每個服務(wù)器區(qū)，再根據(jù)應(yīng)用的不同類型劃分不同的層次，例如在綜合業(yè)務(wù)區(qū)中，又劃分了數(shù)據(jù)庫服務(wù)層、應(yīng)用服務(wù)器層和WEB服務(wù)器層。全網(wǎng)采用統(tǒng)一的架構(gòu)、策略部署，QoS分類和設(shè)備形態(tài)，保證全網(wǎng)的可維護性。 可擴展性和靈活性。216。數(shù)據(jù)中心網(wǎng)絡(luò)做為江西郵政網(wǎng)絡(luò)的一個重要組成部分，為各種核心業(yè)務(wù)系統(tǒng)服務(wù)器提供安全可靠的網(wǎng)絡(luò)接入平臺。 QoS設(shè)計由于郵政的各種金融業(yè)務(wù)、辦公訪問、綜合、VoIP、視頻會議等系統(tǒng)都是基于廣域網(wǎng)，不同業(yè)務(wù)和應(yīng)用系統(tǒng)交互對數(shù)據(jù)轉(zhuǎn)發(fā)的要求各不相同，為提高整網(wǎng)性能，必須進行合理的QoS設(shè)計。QoS引擎提供先進的隊列調(diào)度（PQ、WFQ、CBWFQ）、擁塞避免、流量監(jiān)管、流量整形、優(yōu)先級標記等功能，可保證不同業(yè)務(wù)的帶寬、時延和抖動，滿足不同用戶、不同業(yè)務(wù)等級的“區(qū)分服務(wù)”。為解決以上的問題，提供更好的Qos能力，迫切需要一種既能控制用戶的流量，又能同時對用戶業(yè)務(wù)的優(yōu)先級進行調(diào)度的Qos技術(shù)。H3C提出用SecCenter（安全管理中心）和iMC（智能管理中心）組合，來滿足系統(tǒng)全局安全管理的需求，將安全體系中各層次的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶終端等納入一個緊密的“全局安全管理平臺”中，通過安全策略的集中部署、安全事件的深度感知與關(guān)聯(lián)分析以及安全部件的協(xié)同響應(yīng)，在現(xiàn)有安全設(shè)施的基礎(chǔ)上構(gòu)建一個智能安全防御體系，大幅度提高系統(tǒng)的整體安全防御能力。b) 隔離——隔離違規(guī)終端。網(wǎng)絡(luò)流量監(jiān)控特別使用在數(shù)據(jù)中心的廣域出口。傳統(tǒng)的安全解決方案中，防火墻和入侵檢測系統(tǒng) (IDS，Intrusion Detection System) 已經(jīng)被普遍接受，但僅僅有防火墻和IDS還不足以完全保護網(wǎng)絡(luò)不受攻擊。在關(guān)鍵區(qū)域的邊界通過防火墻技術(shù)，可以解決80％以上的訪問控制風險；如在外聯(lián)邊界、生產(chǎn)和管理辦公服務(wù)器區(qū)邊界。 建議可以在郵政儲蓄網(wǎng)點數(shù)據(jù)和前置服務(wù)器之間采用加密技術(shù)，保證最關(guān)鍵的業(yè)務(wù)數(shù)據(jù)安全。 設(shè)備安全：網(wǎng)絡(luò)設(shè)備除了應(yīng)該滿足電磁安全，環(huán)境，安規(guī)等相關(guān)標準外，還應(yīng)具備防流量攻擊能力，目前廣域網(wǎng)線路帶寬遠遠小于設(shè)備的處理能力，廣域網(wǎng)上發(fā)生流量攻擊問題的可能性不大。主要存在于業(yè)務(wù)網(wǎng)數(shù)據(jù)傳輸?shù)绞∴]政的時候，需要考慮防偵聽、截獲和竄改。提供郵件告警、攻擊日志、流日志和網(wǎng)絡(luò)管理監(jiān)控等功能，協(xié)助用戶進行網(wǎng)絡(luò)管理。支持URPF技術(shù)，防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。 各層設(shè)備采用雙機熱備 系統(tǒng)安全性設(shè)計 網(wǎng)絡(luò)設(shè)備安全性要求本網(wǎng)絡(luò)要求具備一定的安全性，具體設(shè)計如下：（2）路由協(xié)議的高可靠保障：H3C S9500系列支持OSPF/ISIS/BGP的優(yōu)雅重啟技術(shù)（Graceful Restart），可以實現(xiàn)用戶業(yè)務(wù)的不間斷轉(zhuǎn)發(fā)；支持動態(tài)路由協(xié)議、跨板端口聚合、虛擬路由冗余協(xié)議（VRRP）等保護機制，有效保證全網(wǎng)高速可靠運行。各PE只在內(nèi)部互聯(lián)端口運行OSPF，使用一個Area 0進行路由交換。1. BGP協(xié)議規(guī)劃a) AS號規(guī)劃按照郵政綜合網(wǎng)的統(tǒng)一規(guī)劃，我們設(shè)置為65XXX（江西郵政的AS號）。 路由協(xié)議規(guī)劃在本次工程中，采用MPLS VPN技術(shù)來實現(xiàn)業(yè)務(wù)隔離實現(xiàn)需要。不同CE 通過PE 配置的VRF 里的Target實現(xiàn)互訪與隔離，從而組成不同的VPN。 MPLS系統(tǒng)規(guī)劃在本次工程中，我們采用MPLS VPN技術(shù)來實現(xiàn)業(yè)務(wù)隔離實現(xiàn)需要。對于IGP協(xié)議，它的主要作用就是保證MBGP鄰居之間的可達性，我們采用OSPF，因為OSPF的適應(yīng)性好、功能完善、層次性強、路由匯聚容易，這樣網(wǎng)絡(luò)規(guī)劃簡單、維護方便，并且有利于今后骨干層網(wǎng)絡(luò)的擴展。根據(jù)集團公司的文件《關(guān)于郵政信息網(wǎng)內(nèi)省內(nèi)網(wǎng)建設(shè)工作的指導(dǎo)意見》（中國郵政【2007】520號文件）要求，下一步將有大量基于B/S模式的應(yīng)用系統(tǒng)上線，省內(nèi)骨干網(wǎng)的通信帶寬最低要求為主干32Mbps，備份線路22Mbps。因此，建議江西省郵政骨干網(wǎng)改造采用基于IP協(xié)議的MPLS VPN技術(shù)。由于BGP的策略控制能力很強，隨之而來的是VPN用戶路由策略控制的靈活性。MPLS/BGP VPN提供了靈活的地址管理。在PE上為這個site配置VRF，將連結(jié)PECE的物理接口、邏輯接口、甚至L2TP/IPSec隧道綁定的VRF上。這種空前的控制能力使網(wǎng)絡(luò)能夠提供更加有效和可預(yù)測的服務(wù)。當IP包最終離開MPLS網(wǎng)絡(luò)時，標簽被邊緣路由器分離。 先進性和成熟性在網(wǎng)絡(luò)設(shè)計中充分考慮到網(wǎng)絡(luò)應(yīng)用的需求和未來的發(fā)展趨勢，兼顧先進性和成熟性的需求，采用的技術(shù)架構(gòu)既應(yīng)當是發(fā)展成熟、已經(jīng)在業(yè)界得到良好應(yīng)用效果，又應(yīng)當具有一定的先進性，使整個系統(tǒng)架構(gòu)在相當一段時期內(nèi)能夠保持穩(wěn)定，適應(yīng)未來信息化的發(fā)展需要。骨干網(wǎng)要具備很高的可靠性，并能實現(xiàn)故障的自動切換，在傳輸上要能實現(xiàn)負載均衡。郵政網(wǎng)絡(luò)改造建設(shè)方案第1章 網(wǎng)絡(luò)建設(shè)需求江西郵政信息網(wǎng)網(wǎng)絡(luò)是全省郵政計算機信息系統(tǒng)的重要支撐部分，現(xiàn)已建成以ATM及SDH傳輸為基礎(chǔ)的多業(yè)務(wù)、多數(shù)據(jù)傳送平臺，省中心和地市中心作為網(wǎng)絡(luò)匯接中心，連接著全省11個市局、84個縣局、1400多個電子化支局和1300多個郵政儲蓄網(wǎng)點。新的骨干網(wǎng)要具有很好的擴展性，可在線路帶寬擴容、增加業(yè)務(wù)系統(tǒng)、設(shè)備處理能力升級等情況下實現(xiàn)平滑擴展。 標準性與開放性整個網(wǎng)絡(luò)系統(tǒng)應(yīng)在國家政策的許可下完全采用符合國際（或國家）通用的開放的標準網(wǎng)絡(luò)協(xié)議和技術(shù)，并在全網(wǎng)采用統(tǒng)一的標準，確保網(wǎng)絡(luò)的互聯(lián)互通。以后所有MPLS網(wǎng)絡(luò)中節(jié)點都是依據(jù)這個標簽作為轉(zhuǎn)發(fā)依據(jù)。而MPLS可以把任何流關(guān)聯(lián)到一個FEC，然后把一個FEC映射到一個LSP，這個LSP可以是為了這種FEC而特殊構(gòu)造的，這使得服務(wù)提供商可以非常精確地控制網(wǎng)絡(luò)中的每個流。CE路由器通常是VPN Site中的一個路由器或交換設(shè)備，Site通過一個單獨的物理端口或邏輯端口（通常是VLAN端口）連接到PE設(shè)備上；用戶接入MPLS VPN的方式是每個site提供一個或多個CE，同骨干網(wǎng)的PE連接。PE與PE之間需要運行IBGP協(xié)議，存在可擴展性問題，但采用路由反射器RR可以顯著地減少IBGP連接的數(shù)量。MPLS/MBGP VPN可以簡化對用戶端設(shè)備的需求和用戶管理、維護Intranet/Extranet的復(fù)雜性，每個CE僅需要維持一個到PE的路由交換協(xié)議，CE間的路由交換、傳輸控制、路由策略由運營商根據(jù)VPN用戶的需求來實施。二層PVC技術(shù)不但ATM交換機投資巨大，很難實現(xiàn)雙機冗余備份，而且還需要為每一個業(yè)務(wù)系統(tǒng)災(zāi)配備一套三層數(shù)據(jù)設(shè)備（IP路由器），整體投資要遠超過純?nèi)龑臃桨?。總體結(jié)構(gòu)圖如下圖： 骨干鏈路設(shè)計骨干網(wǎng)上目前運行的業(yè)務(wù)主要有電子匯兌、電子化支局、郵區(qū)中心局、速遞等，以“終端－前置機”模式的實時聯(lián)機業(yè)務(wù)為主。各地市CE之間的VPN路由的傳遞、VPN路由標簽的分發(fā)，都是通過骨干區(qū)域MPBGP協(xié)議的擴展屬性實現(xiàn)的。地市核心交換機作為MCE，主要作為地市語音、數(shù)據(jù)和視頻VPN的部署點，地市路由器一方面作為廣域互連，另一方面可以擴展一些端口，便于其他VPN的擴展。也就是說，VPN的成員關(guān)系是通過路由所攜帶的route target屬性來獲得的。對于個別級別高的主機（信息點、業(yè)務(wù)系統(tǒng)），需要訪問任何一個VPN，可以通過設(shè)置Super VPN來解決，通過控制RouteTarget屬性，使其全部接受和發(fā)布全部VPN 的路由，這樣使其可以訪問全部的VPN（業(yè)務(wù)系統(tǒng)）。綜上，在本期工程中，我們建議的路由協(xié)議類型就是：骨干層MBGP＋OSPF、PE與CE互聯(lián)采用靜態(tài)路由的方式, 這樣對整個網(wǎng)絡(luò)中的設(shè)備要求不是太高，并且很好的實現(xiàn)了MPLS VPN。Area 0: 由PE設(shè)備互連構(gòu)成。 省核心交換機、核心路由器支持主控引擎、電源等關(guān)鍵部件冗余；支持軟件方式的快速收斂、故障檢測、路由備份等協(xié)議；支持業(yè)務(wù)板卡熱插拔 本次選用的核心交換機S9500具有高可靠性：（1）產(chǎn)品的無單點故障設(shè)計：H3C S9500系列采用分布式體系結(jié)構(gòu)，所有關(guān)鍵部件采用冗