【正文】 業(yè)務(wù)單板提供 IPsec VPN 和 SSL VPN，滿足企業(yè)分支機(jī)構(gòu)安全互聯(lián)以及企業(yè)員工或外部訪客遠(yuǎn)程訪問園區(qū)網(wǎng) 的需求。 圖 61 企業(yè)網(wǎng)網(wǎng)管系統(tǒng)組件 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)網(wǎng)管系統(tǒng)方案規(guī)劃設(shè)計(jì) 第 44 頁 共 60 頁 系統(tǒng)優(yōu)勢介紹 多角度管理 : ? 面向基礎(chǔ)設(shè)施：提供全面的 IT 資源管理，實(shí)現(xiàn)對網(wǎng)絡(luò)、主機(jī)、存儲設(shè)備、安全設(shè)備、數(shù)據(jù)庫、中間件及應(yīng)用軟件等 IT 資源的全面監(jiān)控和管理；同時對網(wǎng)絡(luò)和業(yè)務(wù)應(yīng)用等 IT 資源的性能進(jìn)行監(jiān)控，定期性能報(bào)表和趨勢報(bào)表，為 IT 系統(tǒng)性能優(yōu)化提供科學(xué)依據(jù)。 ? 流量管理： 提供網(wǎng)絡(luò)流量監(jiān)測、流量門限、協(xié)議分析、 Web 上網(wǎng)行為審計(jì)等功能。 圖 510 園區(qū)網(wǎng)出口安全設(shè)計(jì) 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計(jì) 第 42 頁 共 60 頁 企業(yè)園區(qū)網(wǎng)出口 設(shè)備是企業(yè)內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接點(diǎn)，其安全保證能力非常重要，企業(yè)在信息化的過程中面臨核心技術(shù)、商業(yè)機(jī)密泄密等信息安全問題， VPN 技術(shù)是企業(yè)傳輸數(shù)據(jù)非常理想的選擇，因?yàn)?VPN 技術(shù)正式是為了解決在不安全的 Inter 上安全傳輸機(jī)密信息，保證信息的完整性、可用性以及保密性，包括 IPSec VPN 和 SSL VPN。 圖 59 虛擬防火墻設(shè)計(jì) 總結(jié)一下，虛擬防火墻具備如下特征： ? 同物理防火墻一樣獨(dú)立管理、獨(dú)立設(shè)置、每個虛擬防火墻專用的系統(tǒng)日志和攻擊日志，以及每個虛擬防火墻的各種內(nèi)部組件 —— 例如獨(dú)立路由表、轉(zhuǎn)換數(shù)據(jù)庫、ACL 等 ? 可通過 VLAN 劃分園區(qū)網(wǎng)用戶（ PC 機(jī) /服務(wù)器）屬于那個虛擬防火墻 ? 一臺物理防火墻虛擬成多個邏輯防火墻，節(jié)省投資和維護(hù)成本 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)安全方案規(guī)劃設(shè)計(jì) 第 40 頁 共 60 頁 ? 適合于大型企業(yè)園區(qū)各分支部門對防火墻相對獨(dú)立使用和維護(hù)的場景 NAT 規(guī)劃 設(shè)計(jì) 考慮到園區(qū)內(nèi)網(wǎng)安全和企業(yè)公網(wǎng)地址缺乏等原因，會有一些企業(yè)選擇通過采用私網(wǎng) IP地址來建設(shè)園區(qū)網(wǎng)，可以隱藏企業(yè)園區(qū)內(nèi)部網(wǎng)絡(luò)拓?fù)?，需要在企業(yè)出 口通過 NAT 設(shè)備進(jìn)行IP 地址轉(zhuǎn)換。 園區(qū)網(wǎng)中防火墻功能無論是獨(dú)立設(shè)備部署還是集成在核心 /匯聚交換機(jī)內(nèi)部，都必須支持靈活的業(yè)務(wù)流控制策略配置，能把特定的流量引到防火墻進(jìn)行處理，其他流量進(jìn)行旁路。園區(qū)網(wǎng)交換機(jī)需要識別惡意廣播流量的 VLAN ID，通過基于 VLAN 的廣播風(fēng)暴抑制丟棄惡意廣播報(bào)文而不影響正常廣播報(bào)文流量轉(zhuǎn)發(fā)。 如果用戶使用相同的源 IP 進(jìn)行地址掃描攻擊，交換機(jī)還可以基于源 IP 做 ARP miss統(tǒng)計(jì)。 防 IP/MAC 地址掃描攻擊 ? 防 IP掃描攻擊 地址掃描攻擊是攻擊者向攻擊目標(biāo)網(wǎng)絡(luò)發(fā)送大量的目的地址不斷變化的 IP 報(bào)文。 DHCP Snooping 綁定表包含不信任區(qū)域的用戶 MAC 地址、 IP 地址、租用期、 VLANID 接口等信息，DHCP Snooping 綁定表可以基于 DHCP 過程動態(tài)生成，也可以通過靜態(tài)配置生成，此時需預(yù)先準(zhǔn)備用戶的 IP 地址、 MAC 地址、用戶所屬 VLAN ID、用戶所屬接口等信息。 ? 提供基于身份的網(wǎng)絡(luò)服務(wù)，園區(qū)交換機(jī)可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個性化的網(wǎng)絡(luò)服務(wù)，如提供不同的 QoS、 ACL、 VLAN 等。 NAC 解決方案包含三個關(guān)鍵組件：通信代理、網(wǎng)絡(luò)訪問控制設(shè)備（園區(qū)交換機(jī)）和認(rèn)證策略服務(wù)器組： 通信代理也就是安全客戶端，是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評估檢查以及安全策略實(shí)施的主體，其主要功能包括： ? 支持 、 Portal、 MAC 等多種認(rèn)證方式，可以與園區(qū)網(wǎng)交換機(jī)實(shí)現(xiàn)接入、匯聚層的端點(diǎn)準(zhǔn)入控制。這樣省去了設(shè)備間大量協(xié)議報(bào)文的交互，簡化了網(wǎng)絡(luò)運(yùn)行，縮短了網(wǎng)絡(luò)動蕩時的收斂時間。 ? 可靠性高 S93 系列采用堆疊線連接，實(shí)際上是對交換網(wǎng)的延伸。 3) 帶寬利用率高 采用鏈路 Trunk 的方式，帶寬利用率可以達(dá)到 100％。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計(jì) 第 21 頁 共 60 頁 華為全系列交換機(jī)可以通過 MAC 地址與端口的綁定以及限制端口 /VLAN/VSI 下 MAC 地址的最大學(xué)習(xí)個數(shù)可防止 MAC 掃描，并通過 VLAN、 IP、 MAC 之間的任意綁定可防范 ARP 攻擊（ SAI/DAI 功能）。 該方案另外一個優(yōu)點(diǎn)網(wǎng)絡(luò)配置和維護(hù)簡單，園區(qū)二層接入網(wǎng)，不需要配置復(fù)雜的二層環(huán)網(wǎng)和保護(hù)倒換協(xié)議，二層鏈路故障直接感知快速切換，三層網(wǎng)絡(luò)中多個設(shè)備間共享路由表，網(wǎng)絡(luò)故障路由收斂速度快。 三角型組網(wǎng)方案的缺點(diǎn)是每臺接入交換機(jī)上行需要部署主備兩條鏈路，增加布線成本，對匯聚交換機(jī)的端口密度有較高要求。注意：兩臺匯聚交換機(jī)鏈路需要保證絕對可靠，必須采用 TRUNK 鏈路、包含兩條以上物理鏈路，因?yàn)閰R聚交換機(jī)間鏈路 DOWN，兩臺 匯聚交換機(jī) VRRP 狀態(tài)都為主（ VRRP 雙主情況產(chǎn)生），此時接入二層環(huán)網(wǎng)阻塞在匯聚交換機(jī)之間的直連鏈路上，這樣接入用戶同時感知兩個處于 VRRP 主用狀態(tài)的網(wǎng)關(guān)設(shè)備（匯聚交換機(jī)），出現(xiàn)問題。 【優(yōu)點(diǎn)】 1) 網(wǎng)絡(luò)易擴(kuò)展：園區(qū)網(wǎng)架構(gòu)對物理網(wǎng)絡(luò)拓?fù)湟蕾嚩鹊?，可以任意網(wǎng)絡(luò)拓?fù)湫问綌U(kuò)展； 2) 網(wǎng)絡(luò)易維護(hù)：全網(wǎng)為三層 網(wǎng)絡(luò)、無二層環(huán)路網(wǎng)絡(luò)風(fēng)險，無需配置生成樹協(xié)議、 RRPP和 VRRP，降低網(wǎng)絡(luò)配置和維護(hù)工作量。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)架構(gòu)規(guī)劃設(shè)計(jì) 第 12 頁 共 60 頁 出口層 園區(qū)出口路由器，連接 Inter/WAN 廣域網(wǎng)和園區(qū)內(nèi)部局域網(wǎng)。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)架構(gòu)規(guī)劃設(shè)計(jì) 第 11 頁 共 60 頁 由于接入層交換機(jī)直接接園區(qū)網(wǎng)用戶，根據(jù)用戶接入信息點(diǎn)數(shù)目和類型（ GE/FE），對接入交換機(jī)的 GE/FE 接口密度有較高的要求。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 園區(qū)網(wǎng)絡(luò)架構(gòu)規(guī)劃設(shè)計(jì) 第 8 頁 共 60 頁 經(jīng)濟(jì)型園區(qū)網(wǎng)網(wǎng)絡(luò)架構(gòu) 圖 32 經(jīng)濟(jì)型園區(qū)網(wǎng)網(wǎng)絡(luò)架構(gòu) 考慮到節(jié)省園區(qū)網(wǎng)網(wǎng)絡(luò)建設(shè)投資成本，允許網(wǎng)絡(luò)存在單點(diǎn)故障，不再部署冗余交換機(jī)設(shè)備，交換機(jī)之間互聯(lián)采用 TRUNK 鏈路，保證鏈路級可靠性，但是園區(qū)網(wǎng)交換機(jī)設(shè)備故障，會導(dǎo)致 網(wǎng)絡(luò)故障和業(yè)務(wù)中斷。 (三 ) 可擴(kuò)展性 ： 園區(qū)網(wǎng)方案設(shè)計(jì)中，采用分層的網(wǎng)絡(luò)設(shè)計(jì)；每個層次的設(shè)計(jì)所采用的設(shè)備本身都應(yīng)具足夠高的端口密度，為后續(xù)園區(qū)網(wǎng)擴(kuò)展奠定基礎(chǔ)。另外， IT 運(yùn)維部門也需要實(shí)施統(tǒng)計(jì)園區(qū)網(wǎng)各路徑的流量信息，便于對網(wǎng)絡(luò)帶寬進(jìn)行管理和規(guī)劃，給后續(xù)網(wǎng)絡(luò)擴(kuò)容提供參考。 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè) 技術(shù)方案建議書 華為企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)技術(shù)方案建議書 第 2 頁 共 60 頁 目錄 1 項(xiàng)目概述 ..........................................................................................................................................................4 項(xiàng)目背景 .................................................................................................................................................4 項(xiàng)目目標(biāo) .................................................................................................................................................4 2 園區(qū)總體系統(tǒng)規(guī)劃設(shè)計(jì) ................................................................................................................................5 需求分析 .................................................................................................................................................5 設(shè)計(jì)原則 ............................................................................................................................................6 3 園區(qū)網(wǎng)絡(luò)架構(gòu)規(guī)劃設(shè)計(jì) ................................................................................................................................7 園區(qū)網(wǎng)絡(luò)總體網(wǎng)絡(luò)架構(gòu)規(guī)劃設(shè)計(jì) .....................................................................................................7 典型園區(qū)網(wǎng)網(wǎng)絡(luò)架構(gòu) ..................................................................................................................7 經(jīng)濟(jì)型園區(qū)網(wǎng)網(wǎng)絡(luò)架構(gòu) .............................................................................................................8 虛擬交換園區(qū)網(wǎng)網(wǎng)絡(luò)架構(gòu) .........................................................................................................9 園區(qū)網(wǎng)絡(luò)分層網(wǎng)絡(luò)規(guī)劃設(shè)計(jì) ........................................................................................................... 10 接入層 ......................................................................................................................................... 10 匯聚層 ......................................................................................................................................... 11 核心層 ......................................................................................................................................... 11 出口層 ......................................................................................................................................... 12 4 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計(jì) .................................................................................................................... 14 園區(qū)網(wǎng)絡(luò)高可靠性規(guī)劃設(shè)計(jì) ........................................................................................................... 14 園區(qū)網(wǎng)絡(luò)設(shè)備高可靠性規(guī)劃設(shè)計(jì) .................................................................................................. 19 重要部件 冗余 .............................................................................................