【文章內(nèi)容簡介】 量、限制異常流量就成了大家關(guān)注的技術(shù)問題。 IPFIX是最新的流量監(jiān)控技術(shù)國際標(biāo)準(zhǔn)，在 IPFIX的 RFC3917被提議以后， IETF在做流輸出的標(biāo)準(zhǔn)化工作，這也是目前各大廠商大力推動的一個標(biāo)準(zhǔn)。通過 IPFIX這種標(biāo)準(zhǔn)化的流量監(jiān)控技術(shù)，各個廠商的網(wǎng)絡(luò)設(shè)備可以采用同一種流量監(jiān)控標(biāo)準(zhǔn)，極大地方便了網(wǎng)絡(luò)流量的監(jiān)控和實際部署。 傳統(tǒng)的數(shù)據(jù)流量監(jiān)控技術(shù)采用了特定的數(shù)據(jù)屬性去標(biāo)示一個數(shù)據(jù)流。例如，用源 /目的 IP地址、源 /目的端 口號、三層協(xié)議類型標(biāo)示一個數(shù)據(jù)流（采集流量的時候也只采集相應(yīng)的這幾個屬性）。網(wǎng)絡(luò)中的數(shù)據(jù)流量有著各種各樣的屬性，只是簡單的采用特定的屬性去標(biāo)示數(shù)據(jù)流并不能全面完整的采集監(jiān)控流量。但是，如果采用多種屬性去表示一個數(shù)據(jù)流，那采集的流量將會大大增加，極大的增加了網(wǎng)絡(luò)設(shè)備、帶寬和上層服務(wù)器的壓力。 IPFIX采用了“模板”的格式靈活的定義一個數(shù)據(jù)流。在 IPFIX的數(shù)據(jù)結(jié)構(gòu)中，網(wǎng)絡(luò)管理員可以在“模板”中靈活的定義想采集的網(wǎng)絡(luò)流量的屬性，然后在輸出的數(shù)據(jù)流中可以包含已定義的“模板”以及相對應(yīng)模板的數(shù)據(jù)流，通過這種方式 ，網(wǎng)絡(luò)管理員可以自由的添加更改域（添加或更改特定的參數(shù)或協(xié)議），以便更方便地監(jiān)控 IP流量的信息。另一方面，由于輸出格式具有可擴(kuò)展性，因此如果流量監(jiān)控的要求發(fā)生改變，網(wǎng)絡(luò)管理員們也不必升級他們的路由器軟件或管理工具。 銳捷網(wǎng)絡(luò)十萬兆產(chǎn)品的 IPFIX技術(shù)是通過在每個線卡對數(shù)據(jù)流量進(jìn)行采集，過濾，然后把采集到的數(shù)產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 11 據(jù)發(fā)送到交換機(jī)的多業(yè)務(wù)卡上進(jìn)行初步分析統(tǒng)計，最后發(fā)送到上層服務(wù)器進(jìn)行數(shù)據(jù)收集統(tǒng)計，顯示出圖形化的結(jié)果。通過線卡收集采集數(shù)據(jù)，由業(yè)務(wù)卡進(jìn)行初步分析，最后由上層服務(wù)器收集統(tǒng)計數(shù)據(jù)、顯示結(jié)果，真正實現(xiàn)了分布式的 流量監(jiān)控技術(shù)。 使用 IPFIX技術(shù)，通過對網(wǎng)絡(luò)骨干鏈路的流量監(jiān)控，由交換機(jī)將采集的數(shù)據(jù)發(fā)送到上層服務(wù)器，根據(jù)采集的數(shù)據(jù)進(jìn)行模式匹配、基線分析等，可以進(jìn)行 DoS/DDoS攻擊和蠕蟲等病毒檢測，同時結(jié)合記錄的源數(shù)據(jù)包相關(guān)特征快速定位網(wǎng)絡(luò)中的異常行為。 園區(qū)網(wǎng)出口解決方案 出口 技術(shù)需求 園區(qū)網(wǎng)出口主要功能 園區(qū)網(wǎng)出口主要需求 NAT １、處理 NAT 及數(shù)據(jù)轉(zhuǎn)發(fā)的技術(shù) ２、 NAT 能力：并發(fā)連接數(shù) /新建連接數(shù) 多千兆 /萬兆處理性能 出口負(fù)載均衡 多鏈路的負(fù)載均衡 基于智能 DNS 的負(fù)載均衡 安全防 護(hù) 出口的安全防護(hù)能力（尤其是防篡改、防掛馬） 安全設(shè)備性能 流量控制 應(yīng)用的識別能力、更新能力 ２、基于應(yīng)用和用戶的流量控制 ３、出口流量、用戶統(tǒng)計分析報表 日志審計 １、如何方便定位到用戶，而不是 IP VPN 接入 １、 VPN 撥入的易用性 ２、 VPN 用戶并發(fā)數(shù)支持 ３、大量用戶的管理 產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 12 出口區(qū)設(shè)計 園區(qū)網(wǎng)絡(luò)出口平臺的主要功能框架如上圖所示，它主要負(fù)責(zé)承擔(dān)出口網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)、流量控制、安全防護(hù)、安全審計、遠(yuǎn)程 VPN接入等功能。同時包含 DMZ區(qū)域，部署 DNS、 WEB、 Email等對外 應(yīng)用服務(wù)器，為外網(wǎng)提供相關(guān)資源訪問服務(wù)。 外網(wǎng)連接層設(shè)計 外網(wǎng)連接層處于邊界網(wǎng)的最外端，是邊界網(wǎng)中的數(shù)據(jù)交換基礎(chǔ)平臺，此平臺主要由邊界網(wǎng)中的路由器來。外網(wǎng)連接層需要考慮以下三個方面： （一）路由轉(zhuǎn)發(fā)性能，包括網(wǎng)絡(luò)地址轉(zhuǎn)換（ NAT）、基于策略的路由選路（ PBR）； NAT性能考核指標(biāo)主要為 NAT并發(fā)連接數(shù)及 NAT每秒新建連接數(shù)。 NAT并發(fā)連接數(shù)指標(biāo)要求 =用戶總數(shù) x用戶并發(fā)在線率 x每用戶會話數(shù) =2021x100=20萬 NAT每秒新建連接數(shù)指標(biāo)要求 =用戶總數(shù) x用戶并發(fā)在線率 x每用戶每秒新建連接數(shù) =2021x20=4萬 （二）智能路由選路 產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 13 園區(qū)網(wǎng)用戶在訪問屬于不同 ISP提供的信息資源時，外網(wǎng)連接層需要智能的根據(jù)用戶訪問的信息資源，選擇不同的 ISP（不同的廣域網(wǎng)鏈路）來進(jìn)行訪問。從而避免訪問路徑跨越了不同 ISP網(wǎng)絡(luò)，確保資源訪問效率最大化。 （三）多鏈路負(fù)載與備份功能 XX園區(qū)網(wǎng)出口網(wǎng)絡(luò)平臺分別連接至 2條 100M電信鏈路和 1條 100M網(wǎng)通鏈路。為了提高出口帶寬的整體利用率，同時提供鏈路冗余備份，外網(wǎng)連接層必須提供多鏈路負(fù)載均衡與備份功能。在任意一條廣域網(wǎng)鏈路發(fā)生故障時，能夠自動將流量自動切換到其他廣域網(wǎng)鏈路。 （四）智能 DNS 解析 為了讓園區(qū)網(wǎng)對外開放的資源能夠更快捷的讓外部網(wǎng)絡(luò)用戶所訪問，則需要合理引導(dǎo)外部網(wǎng)絡(luò)用戶所訪問的路徑。例如，通過智能 DNS解析功能，在電信網(wǎng)用戶訪問園區(qū)門戶網(wǎng)站域名時，自動解析成電信網(wǎng)產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 14 IP，從而引導(dǎo)電信網(wǎng)絡(luò)用戶從園區(qū)的電信網(wǎng)鏈路訪問園區(qū)園區(qū)門戶服務(wù)，當(dāng)網(wǎng)通用戶訪問時，則解析成網(wǎng)通 IP，引導(dǎo)網(wǎng)通用戶從 XX 園區(qū)網(wǎng)的網(wǎng)通鏈路進(jìn)行訪問。由此為外部網(wǎng)絡(luò)用戶提供一個動態(tài)最優(yōu)的訪問路徑 安全防護(hù)層設(shè)計 安全防護(hù)，是出口網(wǎng)絡(luò)設(shè)計中必不可少的內(nèi)容。針對出口網(wǎng)絡(luò)中所部署的安全防護(hù)，主要有以下四個方面： （一）報文過濾 通過訪問控制列表（ ACL）實現(xiàn)了靈活的各種粒度的報文過濾 ,包括：標(biāo)準(zhǔn) ACL 、擴(kuò)展 ACL。 （二）狀態(tài)檢測 基于六元組來識別網(wǎng)絡(luò)流量，并針對每條網(wǎng)絡(luò)流量建立從二層至七層的狀態(tài)信息。并基于這些狀態(tài)信息進(jìn)行各種豐富的安全控制和更深粒度的報文過濾，包括：報頭檢查 、 IP 分片支持、特殊應(yīng)用協(xié)議支持等。 （三）攻擊防御 基于狀態(tài)檢測可以防御的各種網(wǎng)絡(luò)攻擊包括： IP 畸形包攻擊、 IP 假冒、 TCP 劫持入侵、 SYN flood、Smurf、 Ping of Death、 Teardrop、 Land、 ping flood、 UDP Flood 等等。 防止網(wǎng)頁被篡改 —— 主動防御，避免網(wǎng)頁防篡改軟件只能保護(hù)靜態(tài)頁面且只能亡羊補(bǔ)牢的尷尬 防止網(wǎng)頁被掛馬 —— 針 對 園區(qū)網(wǎng)站 、政府網(wǎng)站掛馬，傳播木馬盜號的黑客手段 （四 ）內(nèi)容過濾 支持 URL過濾，它能夠針對 URL地址進(jìn)行靈活地分類，并應(yīng)用到各種策略上，實現(xiàn)基于用戶策略的URL 訪問過濾。支持內(nèi)容過濾，實時將帶有病毒、木馬的數(shù)據(jù)流進(jìn)行過濾阻斷。 應(yīng)用控制層設(shè)計 隨著 Inter 應(yīng)用的日益豐富， P2P 應(yīng)用的廣泛推廣，出口帶寬的瓶頸效應(yīng)越來越明顯。 由于出口帶寬有限，業(yè)務(wù)應(yīng)用之間存在帶寬競爭關(guān)系。目前，出口應(yīng)用的帶寬被 P2P 大量占用，直接影響了辦公、教學(xué)、科研類應(yīng)用的帶寬保障。 出口帶寬有限、帶寬的分配不合理是 園區(qū) 邊界網(wǎng)的最主要矛盾之一。因此，邊界網(wǎng)中必須設(shè)置流量控制設(shè)備，對出口各種應(yīng)用進(jìn)行智能識別，實時監(jiān)控出口各應(yīng)用的帶寬占用情況，并以此制定動態(tài)的帶寬分產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 15 配策略，實施動態(tài)帶寬分配，控制 P2P 應(yīng)用對出口帶寬的過量占用，保障關(guān)鍵業(yè)務(wù)應(yīng)用的帶寬分配 。 遠(yuǎn)程接入層 設(shè)計 各個企業(yè)用戶從外網(wǎng)訪問園區(qū)網(wǎng)相應(yīng)資源的時候，通常采用 vpn的技術(shù)方式來實現(xiàn)，為了擴(kuò)大服務(wù)范圍 ，提升用戶的滿意度，通過銳捷 SAM 認(rèn)證系統(tǒng)的權(quán)限管理可實現(xiàn)企業(yè) vpn 用戶撥入訪問對應(yīng)的企業(yè)應(yīng)用服務(wù)器資源，而且部署的方式簡單，降低管理精力投入。 日志管理層 設(shè)計 實名制上網(wǎng)日志記錄 基于用戶名（非 IP 地址）的 NAT 日志、 URL 日志、流量日志記錄 對用戶的價值 易管理，快捷定位用戶，提高管理效率 滿足公安部 82 號令要求 產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 16 無線網(wǎng)絡(luò)方案 園區(qū)網(wǎng)應(yīng)用場景 無線部署方式 對于園區(qū)網(wǎng)的無線部署我們采用哪種方式？ 無線接入點 可支持 Fat（胖）和 Fit（瘦）兩種工作模式。如果采用胖 AP 來進(jìn)行部署，那么對于無線 AP 的統(tǒng)一 管理和用戶接入權(quán)限的控制是有難度的，原因如下： ? 網(wǎng)管 IP 地址、 SSID 和加密認(rèn)證方式等無線業(yè)務(wù)參數(shù)、信道和發(fā)射功率等射頻參數(shù)均需要手工逐一配置 ； ? 查看狀態(tài)及用戶統(tǒng)計時，需要逐一登陸查看； ? AP 軟件無法自動完成，維護(hù)人員需要手動逐一 對設(shè)備進(jìn)行軟件升級，費時費力 ； ? 無法根據(jù)用戶歸屬，進(jìn)行接入權(quán)限分配和劃分； ? 無法進(jìn)行負(fù)載分擔(dān)、射頻管理等智能業(yè)務(wù)。 AP 統(tǒng)一管理、用戶接入權(quán)限控制成為構(gòu)建園區(qū)無線網(wǎng)絡(luò)的首要問題 ，所以我們認(rèn)為園區(qū)網(wǎng)無線的部署應(yīng)該采用瘦 AP 的方式： 產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 17 ? 自動查找 AC（無線控制器），無需配置即插即用； ? 自動 識別周邊 AP，射頻、信道自動配置； ? 可以進(jìn)行負(fù)載分擔(dān)、射頻管理等智能業(yè)務(wù)； ? 無線控制器對所有 FIT AP 和在線用戶進(jìn)行統(tǒng)計和管理。 ? 自動升級，無需手工干預(yù)； ? 支持訪問權(quán)限靈活分配； 高速智能轉(zhuǎn)發(fā)架構(gòu) 銳捷網(wǎng)絡(luò)在無線方面提出了第二代智能轉(zhuǎn)發(fā)架構(gòu)，提出了智能流分類的概念（可以根據(jù) ssid， vlan 等信息劃分?jǐn)?shù)據(jù)流），對于時延敏感類的業(yè)務(wù)數(shù)據(jù)進(jìn)行本地轉(zhuǎn)發(fā)，對于安全敏感類的數(shù)據(jù)實現(xiàn)集中式轉(zhuǎn)發(fā)，銳捷網(wǎng)絡(luò) AP 實際吞吐量為 180M，充分體現(xiàn)智能轉(zhuǎn)發(fā)的優(yōu)勢。 智能角色轉(zhuǎn)換 智能角色轉(zhuǎn)換體現(xiàn)在以下方面，我們 在部署智能無線網(wǎng)絡(luò)的時候通常會考慮到控制器的冗余，如果一臺控制器或者鏈路出現(xiàn)故障，另外的控制器能夠接管所有 AP 的工作，但是如果我們由于資金有限無法購買多臺控制器的情況下如何實現(xiàn)冗余呢？在這種情況下，銳捷網(wǎng)絡(luò)提出了 胖瘦智能轉(zhuǎn)換 的概念，也就是說如果當(dāng) AC 宕機(jī)后， AP 和 AC 之間失去心跳，那么 AP 目前的瘦模式會自動切換為胖模式，繼續(xù)為企業(yè)的辦公 用戶提供永續(xù)不間斷的轉(zhuǎn)發(fā)業(yè)務(wù)。當(dāng) AC 恢復(fù)了正常的狀態(tài)， AP 切換為瘦模式。這兩次切換的過程無需人工手動干預(yù)，完全是 AP 自動完成的。 有線無線統(tǒng)一管理 RGSNCWLAN 可對 無線網(wǎng)絡(luò)中的無線控制器和無線接入點等設(shè)備與有線網(wǎng)絡(luò)設(shè)備進(jìn)行一體化集中管理，網(wǎng)管人員對全網(wǎng)設(shè)備信息和狀態(tài)可隨時全盤掌握。通過整體拓?fù)浔O(jiān)視、多視圖的監(jiān)視和分組管理，可將行業(yè)客戶的大