【文章內(nèi)容簡介】 量、限制異常流量就成了大家關注的技術問題。 IPFIX是最新的流量監(jiān)控技術國際標準，在 IPFIX的 RFC3917被提議以后， IETF在做流輸出的標準化工作，這也是目前各大廠商大力推動的一個標準。通過 IPFIX這種標準化的流量監(jiān)控技術，各個廠商的網(wǎng)絡設備可以采用同一種流量監(jiān)控標準，極大地方便了網(wǎng)絡流量的監(jiān)控和實際部署。 傳統(tǒng)的數(shù)據(jù)流量監(jiān)控技術采用了特定的數(shù)據(jù)屬性去標示一個數(shù)據(jù)流。例如，用源 /目的 IP地址、源 /目的端 口號、三層協(xié)議類型標示一個數(shù)據(jù)流（采集流量的時候也只采集相應的這幾個屬性）。網(wǎng)絡中的數(shù)據(jù)流量有著各種各樣的屬性，只是簡單的采用特定的屬性去標示數(shù)據(jù)流并不能全面完整的采集監(jiān)控流量。但是，如果采用多種屬性去表示一個數(shù)據(jù)流，那采集的流量將會大大增加，極大的增加了網(wǎng)絡設備、帶寬和上層服務器的壓力。 IPFIX采用了“模板”的格式靈活的定義一個數(shù)據(jù)流。在 IPFIX的數(shù)據(jù)結構中，網(wǎng)絡管理員可以在“模板”中靈活的定義想采集的網(wǎng)絡流量的屬性，然后在輸出的數(shù)據(jù)流中可以包含已定義的“模板”以及相對應模板的數(shù)據(jù)流，通過這種方式 ，網(wǎng)絡管理員可以自由的添加更改域（添加或更改特定的參數(shù)或協(xié)議），以便更方便地監(jiān)控 IP流量的信息。另一方面，由于輸出格式具有可擴展性，因此如果流量監(jiān)控的要求發(fā)生改變，網(wǎng)絡管理員們也不必升級他們的路由器軟件或管理工具。 銳捷網(wǎng)絡十萬兆產(chǎn)品的 IPFIX技術是通過在每個線卡對數(shù)據(jù)流量進行采集，過濾，然后把采集到的數(shù)產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 11 據(jù)發(fā)送到交換機的多業(yè)務卡上進行初步分析統(tǒng)計，最后發(fā)送到上層服務器進行數(shù)據(jù)收集統(tǒng)計，顯示出圖形化的結果。通過線卡收集采集數(shù)據(jù)，由業(yè)務卡進行初步分析，最后由上層服務器收集統(tǒng)計數(shù)據(jù)、顯示結果，真正實現(xiàn)了分布式的 流量監(jiān)控技術。 使用 IPFIX技術，通過對網(wǎng)絡骨干鏈路的流量監(jiān)控，由交換機將采集的數(shù)據(jù)發(fā)送到上層服務器，根據(jù)采集的數(shù)據(jù)進行模式匹配、基線分析等，可以進行 DoS/DDoS攻擊和蠕蟲等病毒檢測，同時結合記錄的源數(shù)據(jù)包相關特征快速定位網(wǎng)絡中的異常行為。 園區(qū)網(wǎng)出口解決方案 出口 技術需求 園區(qū)網(wǎng)出口主要功能 園區(qū)網(wǎng)出口主要需求 NAT １、處理 NAT 及數(shù)據(jù)轉發(fā)的技術 ２、 NAT 能力：并發(fā)連接數(shù) /新建連接數(shù) 多千兆 /萬兆處理性能 出口負載均衡 多鏈路的負載均衡 基于智能 DNS 的負載均衡 安全防 護 出口的安全防護能力（尤其是防篡改、防掛馬） 安全設備性能 流量控制 應用的識別能力、更新能力 ２、基于應用和用戶的流量控制 ３、出口流量、用戶統(tǒng)計分析報表 日志審計 １、如何方便定位到用戶，而不是 IP VPN 接入 １、 VPN 撥入的易用性 ２、 VPN 用戶并發(fā)數(shù)支持 ３、大量用戶的管理 產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 12 出口區(qū)設計 園區(qū)網(wǎng)絡出口平臺的主要功能框架如上圖所示，它主要負責承擔出口網(wǎng)絡的數(shù)據(jù)轉發(fā)、流量控制、安全防護、安全審計、遠程 VPN接入等功能。同時包含 DMZ區(qū)域，部署 DNS、 WEB、 Email等對外 應用服務器，為外網(wǎng)提供相關資源訪問服務。 外網(wǎng)連接層設計 外網(wǎng)連接層處于邊界網(wǎng)的最外端，是邊界網(wǎng)中的數(shù)據(jù)交換基礎平臺，此平臺主要由邊界網(wǎng)中的路由器來。外網(wǎng)連接層需要考慮以下三個方面： （一）路由轉發(fā)性能，包括網(wǎng)絡地址轉換（ NAT）、基于策略的路由選路（ PBR）； NAT性能考核指標主要為 NAT并發(fā)連接數(shù)及 NAT每秒新建連接數(shù)。 NAT并發(fā)連接數(shù)指標要求 =用戶總數(shù) x用戶并發(fā)在線率 x每用戶會話數(shù) =2021x100=20萬 NAT每秒新建連接數(shù)指標要求 =用戶總數(shù) x用戶并發(fā)在線率 x每用戶每秒新建連接數(shù) =2021x20=4萬 （二）智能路由選路 產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 13 園區(qū)網(wǎng)用戶在訪問屬于不同 ISP提供的信息資源時，外網(wǎng)連接層需要智能的根據(jù)用戶訪問的信息資源，選擇不同的 ISP（不同的廣域網(wǎng)鏈路）來進行訪問。從而避免訪問路徑跨越了不同 ISP網(wǎng)絡，確保資源訪問效率最大化。 （三）多鏈路負載與備份功能 XX園區(qū)網(wǎng)出口網(wǎng)絡平臺分別連接至 2條 100M電信鏈路和 1條 100M網(wǎng)通鏈路。為了提高出口帶寬的整體利用率，同時提供鏈路冗余備份，外網(wǎng)連接層必須提供多鏈路負載均衡與備份功能。在任意一條廣域網(wǎng)鏈路發(fā)生故障時，能夠自動將流量自動切換到其他廣域網(wǎng)鏈路。 （四）智能 DNS 解析 為了讓園區(qū)網(wǎng)對外開放的資源能夠更快捷的讓外部網(wǎng)絡用戶所訪問，則需要合理引導外部網(wǎng)絡用戶所訪問的路徑。例如，通過智能 DNS解析功能，在電信網(wǎng)用戶訪問園區(qū)門戶網(wǎng)站域名時，自動解析成電信網(wǎng)產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 14 IP，從而引導電信網(wǎng)絡用戶從園區(qū)的電信網(wǎng)鏈路訪問園區(qū)園區(qū)門戶服務，當網(wǎng)通用戶訪問時，則解析成網(wǎng)通 IP，引導網(wǎng)通用戶從 XX 園區(qū)網(wǎng)的網(wǎng)通鏈路進行訪問。由此為外部網(wǎng)絡用戶提供一個動態(tài)最優(yōu)的訪問路徑 安全防護層設計 安全防護，是出口網(wǎng)絡設計中必不可少的內(nèi)容。針對出口網(wǎng)絡中所部署的安全防護，主要有以下四個方面： （一）報文過濾 通過訪問控制列表（ ACL）實現(xiàn)了靈活的各種粒度的報文過濾 ,包括：標準 ACL 、擴展 ACL。 （二）狀態(tài)檢測 基于六元組來識別網(wǎng)絡流量，并針對每條網(wǎng)絡流量建立從二層至七層的狀態(tài)信息。并基于這些狀態(tài)信息進行各種豐富的安全控制和更深粒度的報文過濾，包括：報頭檢查 、 IP 分片支持、特殊應用協(xié)議支持等。 （三）攻擊防御 基于狀態(tài)檢測可以防御的各種網(wǎng)絡攻擊包括： IP 畸形包攻擊、 IP 假冒、 TCP 劫持入侵、 SYN flood、Smurf、 Ping of Death、 Teardrop、 Land、 ping flood、 UDP Flood 等等。 防止網(wǎng)頁被篡改 —— 主動防御，避免網(wǎng)頁防篡改軟件只能保護靜態(tài)頁面且只能亡羊補牢的尷尬 防止網(wǎng)頁被掛馬 —— 針 對 園區(qū)網(wǎng)站 、政府網(wǎng)站掛馬，傳播木馬盜號的黑客手段 （四 ）內(nèi)容過濾 支持 URL過濾，它能夠針對 URL地址進行靈活地分類，并應用到各種策略上，實現(xiàn)基于用戶策略的URL 訪問過濾。支持內(nèi)容過濾，實時將帶有病毒、木馬的數(shù)據(jù)流進行過濾阻斷。 應用控制層設計 隨著 Inter 應用的日益豐富， P2P 應用的廣泛推廣，出口帶寬的瓶頸效應越來越明顯。 由于出口帶寬有限，業(yè)務應用之間存在帶寬競爭關系。目前，出口應用的帶寬被 P2P 大量占用，直接影響了辦公、教學、科研類應用的帶寬保障。 出口帶寬有限、帶寬的分配不合理是 園區(qū) 邊界網(wǎng)的最主要矛盾之一。因此，邊界網(wǎng)中必須設置流量控制設備，對出口各種應用進行智能識別，實時監(jiān)控出口各應用的帶寬占用情況，并以此制定動態(tài)的帶寬分產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 15 配策略，實施動態(tài)帶寬分配，控制 P2P 應用對出口帶寬的過量占用，保障關鍵業(yè)務應用的帶寬分配 。 遠程接入層 設計 各個企業(yè)用戶從外網(wǎng)訪問園區(qū)網(wǎng)相應資源的時候，通常采用 vpn的技術方式來實現(xiàn)，為了擴大服務范圍 ，提升用戶的滿意度，通過銳捷 SAM 認證系統(tǒng)的權限管理可實現(xiàn)企業(yè) vpn 用戶撥入訪問對應的企業(yè)應用服務器資源，而且部署的方式簡單，降低管理精力投入。 日志管理層 設計 實名制上網(wǎng)日志記錄 基于用戶名（非 IP 地址）的 NAT 日志、 URL 日志、流量日志記錄 對用戶的價值 易管理，快捷定位用戶，提高管理效率 滿足公安部 82 號令要求 產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 16 無線網(wǎng)絡方案 園區(qū)網(wǎng)應用場景 無線部署方式 對于園區(qū)網(wǎng)的無線部署我們采用哪種方式？ 無線接入點 可支持 Fat（胖）和 Fit（瘦）兩種工作模式。如果采用胖 AP 來進行部署，那么對于無線 AP 的統(tǒng)一 管理和用戶接入權限的控制是有難度的，原因如下： ? 網(wǎng)管 IP 地址、 SSID 和加密認證方式等無線業(yè)務參數(shù)、信道和發(fā)射功率等射頻參數(shù)均需要手工逐一配置 ； ? 查看狀態(tài)及用戶統(tǒng)計時，需要逐一登陸查看； ? AP 軟件無法自動完成，維護人員需要手動逐一 對設備進行軟件升級，費時費力 ； ? 無法根據(jù)用戶歸屬，進行接入權限分配和劃分； ? 無法進行負載分擔、射頻管理等智能業(yè)務。 AP 統(tǒng)一管理、用戶接入權限控制成為構建園區(qū)無線網(wǎng)絡的首要問題 ，所以我們認為園區(qū)網(wǎng)無線的部署應該采用瘦 AP 的方式： 產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 17 ? 自動查找 AC（無線控制器），無需配置即插即用； ? 自動 識別周邊 AP，射頻、信道自動配置； ? 可以進行負載分擔、射頻管理等智能業(yè)務； ? 無線控制器對所有 FIT AP 和在線用戶進行統(tǒng)計和管理。 ? 自動升級，無需手工干預； ? 支持訪問權限靈活分配； 高速智能轉發(fā)架構 銳捷網(wǎng)絡在無線方面提出了第二代智能轉發(fā)架構，提出了智能流分類的概念（可以根據(jù) ssid， vlan 等信息劃分數(shù)據(jù)流），對于時延敏感類的業(yè)務數(shù)據(jù)進行本地轉發(fā)，對于安全敏感類的數(shù)據(jù)實現(xiàn)集中式轉發(fā)，銳捷網(wǎng)絡 AP 實際吞吐量為 180M，充分體現(xiàn)智能轉發(fā)的優(yōu)勢。 智能角色轉換 智能角色轉換體現(xiàn)在以下方面，我們 在部署智能無線網(wǎng)絡的時候通常會考慮到控制器的冗余，如果一臺控制器或者鏈路出現(xiàn)故障，另外的控制器能夠接管所有 AP 的工作，但是如果我們由于資金有限無法購買多臺控制器的情況下如何實現(xiàn)冗余呢？在這種情況下，銳捷網(wǎng)絡提出了 胖瘦智能轉換 的概念，也就是說如果當 AC 宕機后， AP 和 AC 之間失去心跳，那么 AP 目前的瘦模式會自動切換為胖模式，繼續(xù)為企業(yè)的辦公 用戶提供永續(xù)不間斷的轉發(fā)業(yè)務。當 AC 恢復了正常的狀態(tài)， AP 切換為瘦模式。這兩次切換的過程無需人工手動干預，完全是 AP 自動完成的。 有線無線統(tǒng)一管理 RGSNCWLAN 可對 無線網(wǎng)絡中的無線控制器和無線接入點等設備與有線網(wǎng)絡設備進行一體化集中管理，網(wǎng)管人員對全網(wǎng)設備信息和狀態(tài)可隨時全盤掌握。通過整體拓撲監(jiān)視、多視圖的監(jiān)視和分組管理，可將行業(yè)客戶的大