【文章內容簡介】 間的松耦合，在新增模塊或業(yè)務系統(tǒng)時，無需更改核心設備的配置，減小核心區(qū)出現(xiàn)故障的機率，保證核心區(qū)的高可靠與業(yè)務分區(qū)的靈活擴展；u 簡化安全策略部署：防火墻下移到各業(yè)務分區(qū)的出口，防火墻上部署的安全策略可大大簡化，默認僅需要劃分兩個安全域（受信域與非受信域），采用白名單方式下發(fā)策略，減少了策略的交叉。. SecBlade FW插卡部署防火墻設備在數(shù)據(jù)中心網絡架構中為內部系統(tǒng)提供了安全和可靠性保障。防火墻主要部署在數(shù)據(jù)中心的兩個常見區(qū)域中：數(shù)據(jù)中心出口區(qū)域和服務器區(qū)域。在數(shù)據(jù)中心出口區(qū)域部署防火墻可以保障來自Internet和合作伙伴的用戶的安全性，避免未經授權的訪問和網絡攻擊。在數(shù)據(jù)中心服務器區(qū)域部署防火墻可以避免不同服務器系統(tǒng)之間的相互干擾，通過自定義防火墻策略還可以提供更詳細的訪問機制。防火墻插卡設備雖然部署在交換機框中，但仍然可以看作是一個獨立的設備。它通過交換機內部的10GE接口與網絡設備相連，它可以部署為2層透明設備和三層路由設備。防火墻與交換機之間的三層部署方式與傳統(tǒng)盒式設備類似。 如上圖FW三層部署所示，防火墻可以與宿主交換機直接建立三層連接，也可以與上游或下游設備建立三層連接，不同連接方式取決于用戶的訪問策略?？梢酝ㄟ^靜態(tài)路由和缺省路由實現(xiàn)三層互通，也可以通過OSPF這樣的路由協(xié)議提供動態(tài)的路由機制。如果防火墻部署在服務器區(qū)域，可以將防火墻設計為服務器網關設備，這樣所有訪問服務器的三層流量都將經過防火墻設備，這種部署方式可以提供區(qū)域內部服務器之間訪問的安全性。 XX集團數(shù)據(jù)中內部，整體安全采用分布式部署設計，已經對不同的業(yè)務系統(tǒng)進行了分區(qū)，整體安全邊界清晰。為簡化SecBlade FW的配置，提高網關性能，將服務器的網關均部署在接入交換機上， SecBlade FW插卡僅部署本分區(qū)內與其它分區(qū)之間的安全策略。若本分區(qū)內各服務器之間有隔離需求，建議在接入交換機上采用ACL方式實現(xiàn)。如下圖所示： 對于僅部署SecBlade FW插卡的業(yè)務區(qū)（如百貨、KTV、ERP/財務、開發(fā)測試、支撐管理、外聯(lián)網區(qū)），區(qū)域內的安全部署邏輯拓撲如下圖所示：u 接入交換機雙機部署IRF虛擬化，并實現(xiàn)跨設備鏈路捆綁。兩塊SecBlade FW插卡邏輯上相當于插在同一臺交換機上。u 每臺接入交換機邏輯上均可以看成一臺L2交換機與一臺L3交換機的疊加，服務器網關部署在交換機上。u SecBlade通過內部的10GE接口與交換機互連，并創(chuàng)建多個L3接口進行引流，讓所有流經服務器的流量均經過FW過濾。兩塊FW插卡通過帶外狀態(tài)同步線（心跳線）進行狀態(tài)同步，F(xiàn)W插卡之間通過OSPF動態(tài)路由實現(xiàn)熱備或負載分擔（ECMP）。. SecBlade FW+IPS+LB組合部署對于XX數(shù)據(jù)中心的院線應用區(qū)、互聯(lián)網應用區(qū)，需要涉及到FW+IPS+LB的組合部署，下面先介紹IPS和LB插卡的基本組網：u SecBlade IPS基本組網設計SecBlade IPS插卡為數(shù)據(jù)中心內部提供了更堅固的安全保護機制。通過IPS的深度檢測功能可以有效保護內部服務器避免受到病毒、蠕蟲、程序漏洞和DDOS等來自應用層的安全威脅。IPS插卡通過OAA（開放的應用架構）技術與宿主交換機配合使用?？梢酝ㄟ^傳統(tǒng)的流量重定向方式將需要IPS處理的業(yè)務流重定向到IPS插卡上處理，也可以通過OAA方式在IPS的Web頁面上配置重定向策略，這兩種方式都可以實現(xiàn)相同的功能。由于不同交換機設備對OAA的支持程度不同。我們推薦在本方案中采用重定向策略引流。由于IPS插卡在整個網絡中屬于2層透明轉發(fā)設備，不會對報文進行任何修改，整個網絡從連通性上看加入IPS后不會產生任何變化影響。因此建議實施的時候將其放在最后進行上線配置，即其他設備都調試OK，流量轉發(fā)與HA設計都以正常實現(xiàn)情況下再進行IPS的部署實施。SecBlade IPS組網結構流量圖SecBlade IPS不會對報文進行任何修改，對于上IPS處理的報文，非OAA方式只能通過VLAN區(qū)分流量是屬于外部域還是內部域。所以在組網設計中需注意非OAA方式重定向到IPS插卡的業(yè)務流上下行流量需為不同VLAN。由于IPS插卡不具有雙機熱備功能，通過組網設計，部分環(huán)境可以做到IPS故障的切換，部分環(huán)境中當IPS故障后，重定向功能失效，業(yè)務流將不能繼續(xù)受到IPS的安全保護，流量在短暫中斷后仍然可以保證連續(xù)性。u SecBlade LB板卡設計部署LB插卡具備兩大主要功能，服務器負載均衡和鏈路負載均衡，分別應用于數(shù)據(jù)中心服務器區(qū)和Internet出口區(qū)域。服務器負載均衡為數(shù)據(jù)中心服務器區(qū)性能的擴展和資源利用的優(yōu)化提供完美的解決方案。鏈路負載均衡非常有效的部署在數(shù)據(jù)中心多出口的組網環(huán)境中，可以同時對多條廣域網鏈路優(yōu)化資源利用。LB插卡的工作方式與防火墻的類似，仍然作為一個獨立的設備運行。通過傳統(tǒng)的三層方式與交換機或下游設備相連?？梢酝ㄟ^靜態(tài)路由和缺省路由實現(xiàn)三層互通，也可以通過OSPF這樣的路由協(xié)議提供動態(tài)的路由機制。SecBlade LB在數(shù)據(jù)中心出口的部署如圖所示，在數(shù)據(jù)中心出口區(qū)域，LB插卡可以與宿主交換機連接三層連接關系，也可以直接和下游設備如防火墻等建立三層連接關系。這取決于用戶的實際需求，前一種方式可以提供更靈活的路由控制策略，而后一種方式可以簡化組網的復雜結構（例如：如果經LLB下行的流量都要通過防火墻的安全保護，那么可以將防火墻直接作為LLB的下一跳設備）。需要注意的是，在雙機熱備的組網環(huán)境中，兩塊LLB的出口配置必須相同，這樣才能保證業(yè)務切換后能正常運行。如圖所示，在數(shù)據(jù)中心服務器區(qū)，LB提供了服務器的負載均衡能力。我們可以將LB插卡作為服務器的網關設備，這樣所有的服務器流量都需經過LB設備。也可以將服務器網關放置在交換機上，LB設備通過路由方式訪問服務器群，這樣的部署方式可以靈活控制LB對服務器的訪問。u 組合部署在數(shù)據(jù)中心服務器區(qū)IPS+FW+SLB的部署主要有以下四種方式：u IPS如果需要保護所有流量可以部署在前端，如果僅需要保護部分關鍵區(qū)域的業(yè)務可以放置在FW后面。u SLB可以作為服務器網關設備部署，如果服務器間還需要更嚴格的防護策略可以將防火墻部署在SLB下端作為服務器的隔離設備。u 通過IRF堆疊技術還可以進一步簡化組網結構，提高管理維護和配置成本，是目前的流行部署方式。本方案的推薦采用組網四方案，組網邏輯拓撲如下圖所示：在本案例組網設計中， 接入交換機和安全插卡都為雙機部署，使用OSPF動態(tài)路由協(xié)議。交換機通過IRF方式增強可靠性和管理性，F(xiàn)W插卡與上游設備建立三層連接關系，提供安全保護功能。SLB插卡與接入交換機建立三層連接關系，同時對下做為服務器網關設備提供服務器負載均衡功能。. QoS設計. QoS設計原則XX集團網絡整網QoS設計遵循以下的原則：u 正常情況下QOS是通過帶寬來保證的。換句話說，即在網絡帶寬足夠高的情況下，不需要QOS機制。當帶寬利用率達到60％可考慮擴容；u 網絡設備的容量不能成為瓶頸；u 網絡/鏈路故障或網絡擁塞情況下QOS策略生效；u 任何時候都優(yōu)先保證實時業(yè)務。. QoS服務模型選擇為了更有效的利用帶寬，使關鍵業(yè)務得到無阻塞的應用，網絡需要進行QoS方案的設計實施，首先需要考慮選擇合適的技術框架，也即服務模型。服務模型指的是一組端到端的QoS功能，目前有以下三種QoS服務模型：1. BestEffort service——盡力服務2. Integrated service（Intserv）——綜合服務3. Differentiated service（Diffserv）——區(qū)分服務 u BestEffort service：盡力服務是最簡單的服務模型。應用程序可以在任何時候，發(fā)出任意數(shù)量的報文，而且不需要事先獲得批準，也不需要通知網絡。網絡則盡最大的可能性來發(fā)送報文，但對時延、可靠性等不提供任何保證。u Integrated service：Intserv是一個綜合服務模型，它可以滿足多種QoS需求。這種服務模型在發(fā)送報文前，需要向網絡申請?zhí)囟ǖ姆铡＿@個請求是通過信令（signal）來完成的，應用程序首先通知網絡它自己的流量參數(shù)和需要的特定服務質量請求，包括帶寬、時延等，應用程序一般在收到網絡的確認信息，即網絡已經為這個應用程序的報文預留了資源后，發(fā)送報文。而應用程序發(fā)出的報文應該控制在流量參數(shù)描述的范圍內。u Differentiated service：Diffserv即區(qū)別服務模型，它可以滿足不同的QoS需求。與Integrated service不同，它不需要信令，即應用程序在發(fā)出報文前，不需要通知路由器。網絡不需要為每個流維護狀態(tài)，它根據(jù)每個報文指定的QoS，來提供特定的服務。可以用不同的方法來指定報文的QoS，如IP包的優(yōu)先級位（IP Precedence)、報文的源地址和目的地址等。網絡通過這些信息來進行報文的分類、流量整形、流量監(jiān)管和排隊。這三種服務模型中，只有Intserv與Diffserv這兩種能提供多服務的QoS保障。從技術上看，Intserv需要網絡對每個流均維持一個軟狀態(tài)，因此會導致設備性能的下降，或實現(xiàn)相同的功能需要更高性能的設備，另外，還需要全網設備都能提供一致的技術才能實現(xiàn)QoS。而Diffserv則沒有這方面的缺陷，且處理效率高，部署及實施可以分布進行，它只是在構建網絡時，需要對網絡中的路由器設置相應的規(guī)則。對于XX集團廣域網的QoS，我們建議采用Diffserv方式進行部署。. QoS規(guī)劃CCITT最初給出定義：QoS是一個綜合指標，用于衡量使用一個服務滿意程度。QoS性能特點是用戶可見的，使用用戶可理解的語言表示為一組參數(shù)，如傳輸延遲、延遲抖動、安全性、可靠性等。XX集團網絡中主要包括數(shù)據(jù)、視頻兩種業(yè)務應用。而數(shù)據(jù)又分ERP關鍵業(yè)務和其他業(yè)務，因此需要對現(xiàn)有業(yè)務系統(tǒng)進行分類，才能更好地保障業(yè)務的開展。u 業(yè)務分類和標記針對XX集團的要求，對其主要的流量進行劃分和標記，具體如下：業(yè)務類型業(yè)務特征IP PrecedenceIP DSCP網絡控制協(xié)議（hello、SLA）適用于網絡維護與管理報文的可靠傳輸，要求低丟包率756（CS7）7視頻會議對時延、抖動較敏感；帶寬需求高；需要可預計的時延和丟包率534(AF41)5ERP適合重要數(shù)據(jù)業(yè)務,低丟包、高優(yōu)先級324(AF31)3目錄同步和策略下發(fā)適合普通數(shù)據(jù)業(yè)務，低丟包、19(AF11)1郵件系統(tǒng)及Internet應用盡力而為（Best effort）轉發(fā)000u 流量監(jiān)管和整形在完成區(qū)分業(yè)務應用類型后，需要對整個廣域網進行流量的監(jiān)管和整形，對于XX集團廣域網絡SDH來說，出口帶寬是有限的，而入口帶寬總是大于出口帶寬，需要對入口和出口進行限制和整形，以保障關鍵流量的順利轉發(fā)。u 隊列管理在Diffserv體系的隊列管理中，同樣按照不同的邊界范圍采用不同的隊列管理技術。局域網主要基于以太網的組網方式，以太網實現(xiàn)的QoS功能主要是能夠支持那些對延時和抖動要求較高的業(yè)務流。目前業(yè)界在以太網絡交換機實現(xiàn)的Qos隊列管理技術主要采用嚴格優(yōu)先級SP（StrictPriority）隊列調度算法、加權輪循WRR（Weighted Round Robin）調度算法。SP隊列調度算法，是針對關鍵業(yè)務型應用設計的。關鍵業(yè)務有一重要的特點，即在擁塞發(fā)生時要求優(yōu)先獲得服務以減小響應的延遲。WRR隊列調度算法在隊列之間進行輪流調度，保證每個隊列都得到一定的服務時間。在實際應用中，SP隊列調度算法與WRR調度算法可以同時應用一個端口上，既保證關鍵業(yè)務的延時與抖動，同時又保證各業(yè)務具有一定的帶寬保證。廣域網一般采用路由器組網，目前路由器主要支持的隊列管理技術包括PQ、CQ、WFQ、CBQ/LLQ，由于PQ、CQ、WFQ的種種問題，目前通常采用CBQ/LLQ做為骨干層的隊列管理機制。CBWFQ\LLQ，有一個低時延隊列 LLQ，用來支撐EF類業(yè)務，被絕對優(yōu)先發(fā)送（優(yōu)先級低于RTP實時隊列）；另外有63個BQ，用來支撐AF類業(yè)務，可以保證每一個隊列的帶寬及可控的時延；還有一個FIFO/WFQ，對應BE業(yè)務，使用接口剩余帶寬進行發(fā)送。但是請注意，由于涉及到復雜的流分類，對于高速接口（GE以上）啟用CBQ\LLQ特性系統(tǒng)資源存在一定的開銷。另外如果邊緣層與骨干層的接入采用低速的鏈路接入，因此也必須考慮相應的隊列管理技術。如果接入帶寬=2M，則需采用骨干層一樣的調度技術，即CBQ/LLQ。如果接入帶寬2M，則需要考慮采用鏈路有效機制?？刹捎肔FI（鏈路的分段及交叉）技術避免大報文長期占用鏈路帶寬，采用LFI以后，數(shù)據(jù)報文（非RTP實時隊列和LLQ中的報文）在發(fā)送前被分片、逐一發(fā)送，而此時如果有語音報文到達則被優(yōu)先發(fā)送，從而保證了語音等實時業(yè)務的時延與抖動。另外還可以采用CRTP（IP /UDP/ RTP報文頭壓縮）技術，以提高鏈路的利用率。u 擁塞避免建議采用WRED加權丟棄技術，實現(xiàn)擁塞避免。WRED(Weighted early random detection)提供了對擁塞的控制，它不是等待緩沖區(qū)填滿然后出現(xiàn)尾部丟棄，而是不停地監(jiān)控緩沖的深度，并可以根據(jù)IP header中的IP Precedence有選擇地早期丟棄一些級別較低的TCP連接的包，保證關鍵數(shù)據(jù)的傳送，并避免當緩沖滿溢時丟棄大量的數(shù)據(jù)包。主要特點：一、WRED利用活動隊列管理，解決尾部刪除的缺點；二、WRED主要在TCP為主的IP網絡中使用，因為UDP通信流不像TCP一樣具有對分組刪除具有響應能力；三、WRED把非IP通信流看成優(yōu)先級為0，最低優(yōu)先級，因此，非IP通信流放在一個丟棄桶中，比IP通信更容易刪除，這在大多數(shù)重要通信流（非）IP通信流時可能遇到問題，但是這現(xiàn)象在DCN網絡中通常不會出現(xiàn)。. QoS部署對與XX集團的整體QoS部署，我們建議根據(jù)不同層次進行部署