【正文】 VPN不依靠封裝和加密技術(shù)，而是依靠轉(zhuǎn)發(fā)表和數(shù)據(jù)包的標(biāo)記來創(chuàng)建一個安全的VPN。NAT只有在兩個有沖突地址的用戶需要建立Extranet進(jìn)行通信時才需要。改造后網(wǎng)絡(luò)物理結(jié)構(gòu)仍為縱向樹型，并采取雙核心、雙歸屬的高可靠性設(shè)計，全網(wǎng)采用MPLS VPN技術(shù)實現(xiàn)所有業(yè)務(wù)基于一個統(tǒng)一的物理傳輸平臺，并實現(xiàn)統(tǒng)一管理、統(tǒng)一備份、負(fù)載均衡。對于PE與CE之間的路由協(xié)議類型最普遍應(yīng)用的就是靜態(tài)路由，只要遵循IP地址分配原則，各VPN的路由都可以匯聚成一條或者數(shù)目較少的幾條，這時應(yīng)用靜態(tài)路由是最簡單、最高效的，而且網(wǎng)絡(luò)的維護(hù)非常方便。RT的結(jié)構(gòu)于RD基本相同，為了便于維護(hù)和管理，本次工程中采用與RD相同的格式，使用16 bits：32 bits格式，分配規(guī)則為 『AS號：VPN類別』。2. IGP協(xié)議規(guī)劃在目前，可以用于大規(guī)模網(wǎng)絡(luò)的標(biāo)準(zhǔn)IGP的路由協(xié)議有OSPF和ISIS。同時，SR8800還支持完善的設(shè)備可靠性機(jī)制，包括：關(guān)鍵部件1＋1冗余備份、熱插拔、熱補(bǔ)丁等功能。可以在S9500上部署H3C SecBlade FW插卡進(jìn)行核心層的安全保護(hù)和不同區(qū)域訪問策略的定制。辦公網(wǎng)用戶非法訪問業(yè)務(wù)統(tǒng)竊取數(shù)據(jù)，辦公網(wǎng)用戶感染病毒導(dǎo)致業(yè)務(wù)系統(tǒng)主機(jī)癱瘓，內(nèi)網(wǎng)非法用戶通過業(yè)務(wù)網(wǎng)用戶電腦作為跳板竊取管理系統(tǒng)數(shù)據(jù)或者修改業(yè)務(wù)系統(tǒng)數(shù)據(jù)等。通過劃分VLAN將廣播域縮小，在省、地市數(shù)據(jù)中心核心交換機(jī)上控制VLAN三層接口的互通，來隔離不需要互相訪問的網(wǎng)段，以達(dá)到最基本的互訪控制要求。產(chǎn)生這個問題的原因并不是當(dāng)初網(wǎng)絡(luò)設(shè)計不周，而是近年來蠕蟲、P2P、木馬等安全威脅日益滋長并演變到應(yīng)用層面的結(jié)果，必須有相應(yīng)的技術(shù)手段和解決方案來解決針對應(yīng)用層的安全威脅。強(qiáng)制終端安裝系統(tǒng)補(bǔ)丁、升級防病毒軟件，直到滿足安全策略要求。 這種原理在設(shè)備上通過分級調(diào)度來實現(xiàn)，第一級完成對用戶帶寬的保證，第二級完成對每個用戶各業(yè)務(wù)的帶寬保證。所以應(yīng)定義為比較高的優(yōu)先級；l 管理類業(yè)務(wù)： 這類數(shù)據(jù)通常對網(wǎng)絡(luò)實時性要求不高，可定義為一般優(yōu)先級業(yè)務(wù)；l 其它應(yīng)用： 其它應(yīng)用包括大部分辦公訪問，典型的應(yīng)用是FTP或HTTP等，可以把這類應(yīng)用定義為最低的優(yōu)先級。應(yīng)按照端到端訪問安全、網(wǎng)絡(luò)L2L7層安全兩個維度對安全體系進(jìn)行設(shè)計規(guī)劃，從局部安全、全局安全到智能安全，將安全理念滲透到整個數(shù)據(jù)中心網(wǎng)絡(luò)中。根據(jù)開放系統(tǒng)的三層架構(gòu)要求，每個區(qū)域?qū)⒉煌δ艿姆?wù)器分別部署在Web Server層，APP服務(wù)器層和DB服務(wù)器層，這樣便于保護(hù)不同級別服務(wù)器的安全。服務(wù)器區(qū)網(wǎng)絡(luò)拓?fù)渲?，接入層是為服?wù)器提供二層或三層的接入能力，對于擴(kuò)展式多層設(shè)計而言，接入層又被分成三個服務(wù)器層，每層需要部署單獨的接入交換機(jī)，服務(wù)器層與層之間依靠放火墻實現(xiàn)互連和訪問控制。當(dāng)前兩臺設(shè)備能夠滿足數(shù)據(jù)中心建設(shè)的需求，并有了一定的擴(kuò)展能力。數(shù)據(jù)流量的重新路由會自動的由OSPF來完成。網(wǎng)絡(luò)設(shè)備采用框式分布轉(zhuǎn)發(fā)交換機(jī)作為匯聚層設(shè)備，二/三層千兆盒式交換機(jī)作為接入交換機(jī)機(jī)。服務(wù)器接入網(wǎng)絡(luò)的實際配線方式主要有兩種：Top of rack方式和End of row方式。服務(wù)區(qū)的安全控制在服務(wù)器區(qū)匯聚層設(shè)備（防火墻、交換機(jī)）上實現(xiàn)，廣域網(wǎng)區(qū)和互聯(lián)網(wǎng)區(qū)的安全控制在相應(yīng)接入設(shè)備（路由器、防火墻）上實現(xiàn)。 環(huán)網(wǎng)技術(shù)，如：RPR、RRPP等技術(shù)。當(dāng)主設(shè)備出現(xiàn)故障時，備份設(shè)備成為新的主設(shè)備，接替它的工作。這時的交換機(jī)不僅能根據(jù)數(shù)據(jù)包的IP地址或者端口地址來傳送數(shù)據(jù)，而且還能打開數(shù)據(jù)包，進(jìn)入數(shù)據(jù)包內(nèi)部根據(jù)包中的信息作出負(fù)載均衡、內(nèi)容識別等判斷。已發(fā)現(xiàn)的DOS攻擊程序有ICMP Smurf、UDP 反彈，而典型的DDOS攻擊程序有Zombie、TFN2K、Trinoo 和 Stacheldraht等。在第四層交換大大提高了網(wǎng)絡(luò)性能和QoS保證之后，在更高的層次上同樣引入了交換的概念，也可以稱之為第七層交換技術(shù)，或者高層智能交換。 VRRP實現(xiàn)三層的負(fù)載均衡和冗余備份VRRP技術(shù)VRRP（Virtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）是一種容錯協(xié)議，它保證當(dāng)主機(jī)的下一跳設(shè)備壞掉時，可以及時的由另一臺設(shè)備來代替，從而保持通訊的連續(xù)性和可靠性。 硬件設(shè)備冗余，如設(shè)備雙主控、單板熱插拔、冗余電源、冗余風(fēng)扇。服務(wù)器扁平部署模型如上圖所示，服務(wù)器的分級結(jié)構(gòu)是邏輯上的，需要依靠接入交換機(jī)的VLAN、匯聚層的防火墻多實例技術(shù)實現(xiàn)不同服務(wù)器級之間的隔離與訪問控制，扁平模型的好處是成本低，管理的設(shè)備較少，適合中小型數(shù)據(jù)中心服務(wù)器區(qū)設(shè)計。6. 管理每個交換機(jī)上的管理端口都會連接到數(shù)據(jù)中心管理分區(qū)的交換機(jī)上（可以接入帶內(nèi)管理網(wǎng)絡(luò)，也可以接入帶外管理網(wǎng)）。交換機(jī)之間創(chuàng)建聚合鏈路連接，在端口上配置生效trunking，這樣兩臺交換機(jī)上的VLAN之間能夠?qū)崿F(xiàn)互通。每個區(qū)邊緣交換機(jī)都上行連接到CoreSW1和CoreSW2。專用核心區(qū)的另一個好處是使數(shù)據(jù)中心具備更好的可管理性， 因為每個區(qū)域的安全功能和詳細(xì)的路由可以根據(jù)每個區(qū)域的特定功能進(jìn)行定義，因此針對每個區(qū)域我們可以預(yù)測一些特別路由路線和將來的需求，同時也可以對特定服務(wù)器區(qū)域的調(diào)整應(yīng)為核心區(qū)的存在也不至于影響其它的服務(wù)器區(qū)。數(shù)據(jù)中心的網(wǎng)絡(luò)建設(shè)是基于大集中“一個整體”基礎(chǔ)上考慮。企業(yè)數(shù)據(jù)中心應(yīng)保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供每天24小時，每周7天，每年52周的可用性。 本次工程建議在核心路由器節(jié)點上按照三層QoS調(diào)度模型來開展HQoS業(yè)務(wù)， 第一層對應(yīng)路由器的一個物理端口，第二層對應(yīng)的用戶， 可以利用不同的VLAN來標(biāo)示不同的用戶， 第三層對應(yīng)具體的業(yè)務(wù)類型， 可以利用報文COS, DSCP,EXP等任意一個域來對業(yè)務(wù)進(jìn)行標(biāo)示。隨著網(wǎng)絡(luò)的發(fā)展，接入用戶多，承載的業(yè)務(wù)也越來越多，如下場景的應(yīng)用也會越來越多， 通常一個網(wǎng)絡(luò)端口下面連接的用戶不止一個， 每個用戶的接入帶寬需求不同， 具體到某一個，其開通的業(yè)務(wù)也不止一個， 而其每一種類型的業(yè)務(wù)都需要不同的QoS流量帶寬管理需求, 傳統(tǒng)的QoS調(diào)度機(jī)制對解決這類流量管理的問題無能為力。其主要功能包括：a) 檢查——檢查用戶終端的安全狀態(tài)，配合不同方式的身份驗證技術(shù)（、VPN、Portal等），可以確保接入終端的合法與安全。采用防病毒模塊，改變了原有被動等待病毒感染的防御模式，實現(xiàn)網(wǎng)絡(luò)病毒的主動防御，切斷病毒在網(wǎng)絡(luò)邊界傳遞的通道。必要時也可在某些特殊的線路上考慮IPSec加密。 局域網(wǎng)交換機(jī)設(shè)備支持IEEE ，支持豐富的ACL特性，支持防御局域網(wǎng)ARP攻擊 廣域網(wǎng)安全風(fēng)險分析根據(jù)郵政廣域網(wǎng)應(yīng)用具體情況和應(yīng)用特點，對郵政網(wǎng)絡(luò)安全風(fēng)險分析如下，主要存在以下三類突出問題:1. 數(shù)據(jù)竊聽的風(fēng)險：數(shù)據(jù)流以明文方式在網(wǎng)絡(luò)中傳播，存在偵聽、截獲、竄改的風(fēng)險。支持主機(jī)防火墻功能，防止DoS / DDoS攻擊。 省核心交換機(jī)、核心路由器支持主控引擎、電源等關(guān)鍵部件冗余；支持軟件方式的快速收斂、故障檢測、路由備份等協(xié)議；支持業(yè)務(wù)板卡熱插拔 本次選用的核心交換機(jī)S9500具有高可靠性：（1）產(chǎn)品的無單點故障設(shè)計：H3C S9500系列采用分布式體系結(jié)構(gòu)，所有關(guān)鍵部件采用冗余設(shè)計，包括主控板、交換網(wǎng)、電源和風(fēng)扇等；采用無源背板設(shè)計，避免機(jī)箱出現(xiàn)單點故障；所有單板支持熱插拔功能，并且對其它單板上運行的業(yè)務(wù)無影響。綜上，在本期工程中，我們建議的路由協(xié)議類型就是：骨干層MBGP＋OSPF、PE與CE互聯(lián)采用靜態(tài)路由的方式, 這樣對整個網(wǎng)絡(luò)中的設(shè)備要求不是太高，并且很好的實現(xiàn)了MPLS VPN。也就是說，VPN的成員關(guān)系是通過路由所攜帶的route target屬性來獲得的。各地市CE之間的VPN路由的傳遞、VPN路由標(biāo)簽的分發(fā)，都是通過骨干區(qū)域MPBGP協(xié)議的擴(kuò)展屬性實現(xiàn)的。二層PVC技術(shù)不但ATM交換機(jī)投資巨大，很難實現(xiàn)雙機(jī)冗余備份，而且還需要為每一個業(yè)務(wù)系統(tǒng)災(zāi)配備一套三層數(shù)據(jù)設(shè)備（IP路由器），整體投資要遠(yuǎn)超過純?nèi)龑臃桨?。PE與PE之間需要運行IBGP協(xié)議，存在可擴(kuò)展性問題，但采用路由反射器RR可以顯著地減少IBGP連接的數(shù)量。而MPLS可以把任何流關(guān)聯(lián)到一個FEC，然后把一個FEC映射到一個LSP，這個LSP可以是為了這種FEC而特殊構(gòu)造的，這使得服務(wù)提供商可以非常精確地控制網(wǎng)絡(luò)中的每個流。 標(biāo)準(zhǔn)性與開放性整個網(wǎng)絡(luò)系統(tǒng)應(yīng)在國家政策的許可下完全采用符合國際（或國家）通用的開放的標(biāo)準(zhǔn)網(wǎng)絡(luò)協(xié)議和技術(shù)，并在全網(wǎng)采用統(tǒng)一的標(biāo)準(zhǔn)，確保網(wǎng)絡(luò)的互聯(lián)互通。郵政網(wǎng)絡(luò)改造建設(shè)方案第1章 網(wǎng)絡(luò)建設(shè)需求江西郵政信息網(wǎng)網(wǎng)絡(luò)是全省郵政計算機(jī)信息系統(tǒng)的重要支撐部分，現(xiàn)已建成以ATM及SDH傳輸為基礎(chǔ)的多業(yè)務(wù)、多數(shù)據(jù)傳送平臺，省中心和地市中心作為網(wǎng)絡(luò)匯接中心，連接著全省11個市局、84個縣局、1400多個電子化支局和1300多個郵政儲蓄網(wǎng)點。 先進(jìn)性和成熟性在網(wǎng)絡(luò)設(shè)計中充分考慮到網(wǎng)絡(luò)應(yīng)用的需求和未來的發(fā)展趨勢，兼顧先進(jìn)性和成熟性的需求，采用的技術(shù)架構(gòu)既應(yīng)當(dāng)是發(fā)展成熟、已經(jīng)在業(yè)界得到良好應(yīng)用效果，又應(yīng)當(dāng)具有一定的先進(jìn)性，使整個系統(tǒng)架構(gòu)在相當(dāng)一段時期內(nèi)能夠保持穩(wěn)定，適應(yīng)未來信息化的發(fā)展需要。這種空前的控制能力使網(wǎng)絡(luò)能夠提供更加有效和可預(yù)測的服務(wù)。MPLS/BGP VPN提供了靈活的地址管理。因此，建議江西省郵政骨干網(wǎng)改造采用基于IP協(xié)議的MPLS VPN技術(shù)。對于IGP協(xié)議，它的主要作用就是保證MBGP鄰居之間的可達(dá)性，我們采用OSPF，因為OSPF的適應(yīng)性好、功能完善、層次性強(qiáng)、路由匯聚容易，這樣網(wǎng)絡(luò)規(guī)劃簡單、維護(hù)方便，并且有利于今后骨干層網(wǎng)絡(luò)的擴(kuò)展。不同CE 通過PE 配置的VRF 里的Target實現(xiàn)互訪與隔離，從而組成不同的VPN。1. BGP協(xié)議規(guī)劃a) AS號規(guī)劃按照郵政綜合網(wǎng)的統(tǒng)一規(guī)劃，我們設(shè)置為65XXX（江西郵政的AS號）。（2）路由協(xié)議的高可靠保障：H3C S9500系列支持OSPF/ISIS/BGP的優(yōu)雅重啟技術(shù)（Graceful Restart），可以實現(xiàn)用戶業(yè)務(wù)的不間斷轉(zhuǎn)發(fā)；支持動態(tài)路由協(xié)議、跨板端口聚合、虛擬路由冗余協(xié)議（VRRP）等保護(hù)機(jī)制，有效保證全網(wǎng)高速可靠運行。支持URPF技術(shù)，防止基于源地址欺騙的網(wǎng)絡(luò)攻擊行為。主要存在于業(yè)務(wù)網(wǎng)數(shù)據(jù)傳輸?shù)绞∴]政的時候，需要考慮防偵聽、截獲和竄改。 建議可以在郵政儲蓄網(wǎng)點數(shù)據(jù)和前置服務(wù)器之間采用加密技術(shù)，保證最關(guān)鍵的業(yè)務(wù)數(shù)據(jù)安全。傳統(tǒng)的安全解決方案中，防火墻和入侵檢測系統(tǒng) (IDS，Intrusion Detection System) 已經(jīng)被普遍接受，但僅僅有防火墻和IDS還不足以完全保護(hù)網(wǎng)絡(luò)不受攻擊。b) 隔離——隔離違規(guī)終端。為解決以上的問題，提供更好的Qos能力，迫切需要一種既能控制用戶的流量，又能同時對用戶業(yè)務(wù)的優(yōu)先級進(jìn)行調(diào)度的Qos技術(shù)。 QoS設(shè)計由于郵政的各種金融業(yè)務(wù)、辦公訪問、綜合、VoIP、視頻會議等系統(tǒng)都是基于廣域網(wǎng)，不同業(yè)務(wù)和應(yīng)用系統(tǒng)交互對數(shù)據(jù)轉(zhuǎn)發(fā)的要求各不相同，為提高整網(wǎng)性能，必須進(jìn)行合理的QoS設(shè)計。216。全網(wǎng)采用統(tǒng)一的架構(gòu)、策略部署，QoS分類和設(shè)備形態(tài)，保證全網(wǎng)的可維護(hù)性。服務(wù)器區(qū)網(wǎng)絡(luò)拓?fù)渲?，匯聚層為多個服務(wù)器接入層模塊（交換機(jī)）提供流量匯聚功能，匯聚層的一個重要的角色是做為WEB層服務(wù)器的網(wǎng)關(guān)。每個區(qū)交換機(jī)將使用單獨的VLAN，VLAN跨越兩個交換機(jī)，上行鏈接到核心。4. 交換機(jī)的機(jī)箱。 內(nèi)網(wǎng)服務(wù)器區(qū)設(shè)計說明內(nèi)網(wǎng)服務(wù)器區(qū)是企業(yè)主要業(yè)務(wù)系統(tǒng)的運行平臺，承載著企業(yè)的核心業(yè)務(wù)，具有系統(tǒng)復(fù)雜、重要性極高、訪問頻繁、業(yè)務(wù)流量大、安全要求高、管理控制策略復(fù)雜等諸多特點，因此，內(nèi)網(wǎng)服務(wù)器區(qū)的設(shè)計必須要做到：l 高性能：萬兆核心、無收斂、吞吐量高、快速響應(yīng)、服務(wù)器負(fù)載均衡，確保大流量突發(fā)情況下不丟包；l 高可用：網(wǎng)絡(luò)采用全冗余設(shè)計，對各種故障和誤操作具有良好的魯棒性；l 高安全：對各種訪問做到精細(xì)控制，防止各種非法和越權(quán)訪問；l 易于管理：各種控制和隔離策略要靈活部署，做到對網(wǎng)絡(luò)設(shè)備、服務(wù)器系統(tǒng)、存儲等系統(tǒng)的全面管理，同時管理數(shù)據(jù)流與業(yè)務(wù)數(shù)據(jù)流保持隔離。服務(wù)器分層多級部署方案如下圖所示，該方案有利于提高網(wǎng)絡(luò)對業(yè)務(wù)系統(tǒng)擴(kuò)展性和靈活性。 業(yè)務(wù)板卡的擴(kuò)展：在匯聚交換機(jī)上增加相應(yīng)的業(yè)務(wù)板卡以滿足新增業(yè)務(wù)需求。216。為了使VRRP工作，首先要創(chuàng)建一個虛擬IP地址和MAC地址，這樣在這個網(wǎng)絡(luò)中就加入了一個虛擬網(wǎng)關(guān)。第七層交換技術(shù)可以定義為數(shù)據(jù)包的傳送不僅僅依據(jù)MAC地址（第二層交換）或源/目標(biāo)IP地址（第三層路由）以及TCP/UDP端口（第四層地址），而是可以根據(jù)內(nèi)容（表示/應(yīng)用層）進(jìn)行傳送。對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊數(shù)據(jù)中心象一座擁有巨大財富的城堡，然而堅固的堡壘最容易從內(nèi)部被攻破，來自數(shù)據(jù)中心內(nèi)部的攻擊也更具破壞性。高層由于和應(yīng)用相關(guān)，這時候的交換就有了智能性，交換機(jī)具有了區(qū)別各種高層應(yīng)用和識別內(nèi)容的能力。一個虛擬網(wǎng)關(guān)由一個主設(shè)備（Master）和若干個備份設(shè)備（Backup）組成，主設(shè)備實現(xiàn)真正的轉(zhuǎn)發(fā)功能。216。 采用服務(wù)器分層多級部署：建議采用服務(wù)器分層多級部署方案，以提高網(wǎng)絡(luò)對業(yè)務(wù)系統(tǒng)擴(kuò)展性和靈活性5. 安全性安全部署主要包括各服務(wù)器區(qū)的訪問控制以及數(shù)據(jù)中心廣域網(wǎng)接入?yún)^(qū)或互聯(lián)網(wǎng)接入?yún)^(qū)的安全控制。服務(wù)器間部署應(yīng)用優(yōu)化設(shè)備可實現(xiàn)多級服務(wù)器之間的流量分擔(dān)，以減少服務(wù)器的負(fù)載。1. 物理設(shè)備和鏈路分區(qū)中包含了兩臺互連的匯聚交換機(jī)，成對部署的接入交換機(jī)，和相應(yīng)的服務(wù)器。前提是每個VLAN在兩臺交換機(jī)上都有配置，而且每個分區(qū)的邊緣設(shè)備都上連到CoreSW1和CoreSW2交換機(jī)上。每個上行鏈接VLAN都在兩個交換機(jī)中配置。這些L4－L7服務(wù)設(shè)備可以采用獨立的盒式設(shè)備或者采用匯聚交換機(jī)上服務(wù)模塊（板卡）。數(shù)據(jù)中心中的服務(wù)器將會根據(jù)服務(wù)器上的應(yīng)用的用戶訪問特性和應(yīng)用的核心功能分成不同組部署在不同的區(qū)域中，但是由于整個數(shù)據(jù)中心的很多服務(wù)是統(tǒng)一提供的，例如數(shù)據(jù)備份和系統(tǒng)管理，所以為保持架構(gòu)的統(tǒng)一性，避免資源不必要的重復(fù)浪費，一些功能相似的服務(wù)將統(tǒng)一部署在特定的功能區(qū)域內(nèi)，例如與管理相關(guān)的服務(wù)器將被部署在管理區(qū)。網(wǎng)絡(luò)基礎(chǔ)設(shè)計的安全性，設(shè)計到企業(yè)的核心數(shù)據(jù)安全。優(yōu)先級分類