【文章內(nèi)容簡介】 過大的問題。需要有效解決企業(yè)分支機構VPN接入靈活性、安全性和經(jīng)濟性之間的矛盾。 數(shù)據(jù)中心安全設計數(shù)據(jù)中心的安全對企業(yè)來說，非常重要，企業(yè)在享受數(shù)據(jù)中心帶來生產(chǎn)力提高的同時，其內(nèi)在的安全建設成為了業(yè)內(nèi)的熱點。讓數(shù)據(jù)中心遠離安全威脅，促使其在管理、運維上向安全靠攏，已經(jīng)成為建設的趨勢。數(shù)據(jù)中心的網(wǎng)絡安全設計中，我們采用以兩臺交換機為中心的雙星型冗余結構的網(wǎng)絡，可以在網(wǎng)絡交換機上通過插卡的方式實現(xiàn)防火墻、負載均衡等功能，保障數(shù)據(jù)中心的安全。防火墻的目的是要在內(nèi)部、外部兩個網(wǎng)絡之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。具體地說，設置防火墻的目的是隔離數(shù)據(jù)中心和局域網(wǎng)，保護數(shù)據(jù)中心不受攻擊，實現(xiàn)以下基本功能： 負載均衡的作用是可以為用戶訪問數(shù)據(jù)中心時，能夠實現(xiàn)應用級的負載分擔。 無線安全設計無線局域網(wǎng)（WLAN）具有安裝便捷、使用靈活、經(jīng)濟節(jié)約、易于擴展等有線網(wǎng)絡無法比擬的優(yōu)點。但是由于無線局域網(wǎng)開放訪問的特點，使得攻擊者能夠很容易的進行竊聽，惡意修改并轉發(fā)，因此安全性成為阻礙無線局域網(wǎng)發(fā)展的最重要因素。園區(qū)用戶大多容易接受新鮮事物，雖然一方面對無線網(wǎng)絡的需求不斷增長，但同時也讓許多潛在的用戶對不能夠得到可靠的安全保護而對最終是否使用無線局域網(wǎng)猶豫不決。目前有很多種無線局域網(wǎng)的安全技術，包括物理地址（MAC）過濾、服務集標識符（SSID）匹配、有線對等保密（WEP）、端口訪問控制技術（）、WPA （WiFi Protected Access）、IEEE 。面對如此多的安全技術，應該選擇哪些技術來解決無線局域網(wǎng)的安全問題，才能滿足用戶對安全性的要求。 無線局域網(wǎng)的安全威脅利用WLAN進行通信必須具有較高的通信保密能力。對于現(xiàn)有的WLAN產(chǎn)品，它的安全隱患主要有以下幾點：216。 未經(jīng)授權使用網(wǎng)絡服務由于無線局域網(wǎng)的開放式訪問方式，非法用戶可以未經(jīng)授權而擅自使用網(wǎng)絡資源，不僅會占用寶貴的無線信道資源，增加帶寬費用，還會降低合法用戶的服務質量。216。 地址欺騙和會話攔截在無線環(huán)境中，非法用戶通過偵聽等手段獲得網(wǎng)絡中合法站點的MAC地址比有線環(huán)境中要容易得多，這些合法的MAC地址可以被用來進行惡意攻擊。另外，攻擊者很容易裝扮成合法AP進入網(wǎng)絡，并進一步獲取合法用戶的鑒別身份信息，通過會話攔截實現(xiàn)網(wǎng)絡入侵。216。 高級入侵一旦攻擊者侵入無線網(wǎng)絡，它將成為進一步入侵其他系統(tǒng)的起點。多數(shù)學校部署的WLAN都在防火墻之后，這樣WLAN的安全隱患就會成為整個安全系統(tǒng)的漏洞，只要攻破無線網(wǎng)絡，整個網(wǎng)絡就將暴露在非法用戶面前。 華為無線網(wǎng)絡的安全策略針對目前無線校園網(wǎng)應用中的種種安全隱患，華為的無線局域網(wǎng)產(chǎn)品體系能夠提供強有力的安全特性，除了傳統(tǒng)無線局域網(wǎng)中的安全策略之外，還能夠提供更加精細的管理措施：216。 可靠的加密和認證、設備管理，包括高級WPA 256位加密（AES），40/64位、128位和152位WEP共享密鑰加密，WPA TKIP，特有的128位動態(tài)安全鏈路加密，動態(tài)會話密鑰管理。 RADIUS認證和MAC地址聯(lián)合認證，確保只有合法用戶和客戶端設備才可訪問網(wǎng)絡。支持通過本地控制臺或通過SSL或HTTPS集中管理Web瀏覽器；通過本地控制臺或通過SSH v2或Telnet遠程管理的命令行界面；并可通過無線局域網(wǎng)管理系統(tǒng)進行集中管理。216。 用戶和組安全配置和傳統(tǒng)的無線局域網(wǎng)安全措施一樣，華為無線網(wǎng)絡可以依靠物理地址（MAC）過濾、服務集標識符（SSID）匹配、訪問控制列表（ACL）來提供對無線客戶端的初始過濾，只允許指定的無線終端可以連接AP。同時，傳統(tǒng)無線網(wǎng)絡也存在它的不足之處。首先，它的安全策略依賴于連接到某個網(wǎng)絡位置的設備上的特定端口，對物理端口和設備的依賴是網(wǎng)絡工程的基礎。例如，子網(wǎng)、ACL 以及服務等級（CoS）在路由器和交換機的端口上定義，需要通過臺式機的MAC地址來管理用戶的連接。華為采用基于身份的組網(wǎng)功能，可提供增強的用戶和組的安全策略，針對特殊要求創(chuàng)建虛擬專用組（Vertual Private Group），VLAN不再需要通過物理連接或端口來實施，而是根據(jù)用戶和組名來區(qū)分權限。 216。 非法接入檢測和隔離華為無線網(wǎng)絡可自動執(zhí)行的AP射頻掃描功能通過標識可去除非法AP，使管理員能更好地查看網(wǎng)絡狀況，提高對網(wǎng)絡的能見度。非法AP通過引入更多的流量來降低網(wǎng)絡性能，通過嘗試獲取數(shù)據(jù)或用戶名來危及網(wǎng)絡安全或者欺騙網(wǎng)絡以生成有害的垃圾郵件、病毒或蠕蟲。任何網(wǎng)絡中都可能存在非法AP，但是網(wǎng)絡規(guī)模越大就越容易受到攻擊。 為了消除這種威脅，可以指定某些AP充當射頻“衛(wèi)士”，其方法是掃描無線局域網(wǎng)來查找非法AP位置，記錄這些位置信息并采取措施以及為這些位置重新分配信道以使網(wǎng)絡處于連接狀態(tài)并正常運行。AP射頻掃描程序還會檢測并調(diào)整引起射頻干擾的其他來源，例如微波爐和無繩電話。并且，射頻監(jiān)測配合基于用戶身份的組網(wǎng)，不但可使用戶在漫游時具有諸如虛擬專用組成員資格、訪問控制列表 (ACL)、認證、漫游策略和歷史、位置跟蹤、帶寬使用以及其他授權等內(nèi)容，還可告知管理人員哪些用戶已連接、他們位于何處、他們曾經(jīng)位于何處、他們正在使用哪些服務以及他們曾經(jīng)使用過哪些服務。216。 監(jiān)視和告警華為無線網(wǎng)絡體系提供了實時操作信息，可以快速檢測到問題，提高網(wǎng)絡的安全性并優(yōu)化網(wǎng)絡，甚至還可以定位用戶。網(wǎng)絡管理應用程序針對當今的動態(tài)業(yè)務而設計，它提供了配置更改的自動告警功能。向導界面提供了即時提示，從而使得管理員能夠快速針對沖突做出更改。 通過使用軟件的移動配置文件功能，管理者可以在用戶或用戶組漫游整個無線局域網(wǎng)時控制其訪問資源的位置。此外，位置策略能夠根據(jù)用戶的位置來阻止或允許對特殊應用程序的訪問。3 設備介紹 Quidway174。 S9300系列交換機Quidway174。 S9300系列是華為公司面向以業(yè)務為核心的網(wǎng)絡架構而推出的新一代高端智能T比特核心路由交換機。該產(chǎn)品基于華為公司智能多層交換的技術理念，在提供穩(wěn)定、可靠、安全的高性能L2/L3層交換服務基礎上，進一步提供業(yè)務流分析、完善的QOS策略、可控組播、一體化安全等智能業(yè)務優(yōu)化手段，同時具備超強擴展性和可靠性。Quidway174。 S9300系列廣泛適用于廣域網(wǎng)、城域網(wǎng)，園區(qū)網(wǎng)絡和數(shù)據(jù)中心核心、匯聚節(jié)點，幫助企業(yè)構建面向應用的網(wǎng)絡平臺，提供交換路由一體化的端到端融合網(wǎng)絡。Quidway174。 S9300系列提供S930S930S9312三種產(chǎn)品形態(tài)，支持不斷擴展的交換能力和端口密度。整個系列秉承模塊通用化、部件歸一化的設計理念，最小化備件成本，在保證設備擴展性的同時最大限度地保護用戶投資。此外，S9300作為新一代智能交換機采用了多種綠色節(jié)能創(chuàng)新技術，在不斷提升性能及穩(wěn)定性的同時，大幅降低設備能源消耗，減小噪聲污染，為網(wǎng)絡綠色可持續(xù)發(fā)展提供領先的解決方案。產(chǎn)品特點1) 先進交換架構提升網(wǎng)絡擴展性S9300采用先進的分布式交換技術，提供業(yè)界最大整機交換容量和槽位帶寬。創(chuàng)新的交換速率自適應技術，支持單端口速率40G、100G平滑升級，同時完美兼容現(xiàn)網(wǎng)板卡，保護初始投資。背板通流能力充分考慮未來帶寬升級對整機電源功率和散熱需求，數(shù)據(jù)總線預留升級高速交換網(wǎng)能力。超高萬兆端口密度，單臺設備支持576個萬兆端口，助力企業(yè)園區(qū)和數(shù)據(jù)中心迎來全萬兆核心時代。2) 創(chuàng)新的三平面架構設計S9300在傳統(tǒng)交換機數(shù)據(jù)轉發(fā)、管理控制雙平面基礎上創(chuàng)新地增加了獨立的環(huán)境監(jiān)控平面，實現(xiàn)對單板、風扇和電源配電模塊的監(jiān)控、管理和維護。業(yè)界首創(chuàng)的環(huán)境監(jiān)控板，采用華為自主知識產(chǎn)權的高集成度中控芯片，實現(xiàn)硬件級的按流量動態(tài)調(diào)整功率、風扇分區(qū)控制、風扇智能調(diào)速、端口休眠技術等多項節(jié)能技術，在提升系統(tǒng)性能的同時大大降低整機功耗。支持獨立環(huán)境監(jiān)控與網(wǎng)管聯(lián)動，實現(xiàn)全面可視化管理。3) 運營級高可靠性設計，保障企業(yè)應用永續(xù)運行9300具備超越5個9的運營級高可靠性，主控、電源、風扇等關鍵部件采用冗余設計，所有模塊均支持熱插拔?；诜植际降挠布D發(fā)架構，路由平面和數(shù)據(jù)交換平面嚴格分離，保證業(yè)務流永續(xù)暢通。獨立的故障檢測定位硬件，實現(xiàn)快速故障檢測與定位，與其他倒換技術聯(lián)動可有效保證毫秒級網(wǎng)絡保護。能夠在冗余控制引擎間實現(xiàn)無縫切換，設備優(yōu)雅重啟無中斷轉發(fā)。支持ISSU業(yè)務無縫升級，減少關鍵業(yè)務和服務中斷。支持EnhancedTrunk（ETrunk）功能，實現(xiàn)跨設備鏈路聚合，二層組網(wǎng)環(huán)境中跨設備鏈路聚合無須運行破環(huán)協(xié)議，提高設備鏈路利用效率的同時避免單點故障。支持IEEE 、IEEE （VRRP），同時支持豐富的毫秒級倒換技術如RRPP、Smart Link、IP FRR、TE FRR、VPN FRR等，實現(xiàn)運營級級高可靠性。4) 多維集群CSS（集群交換系統(tǒng)）通過CSS集群虛擬化技術，將集群主機虛擬成一臺邏輯設備，實現(xiàn)整個集群系統(tǒng)控制信息共享和路由、組播表項同步。CSS集群技術可以有效提高單臺設備的帶寬，滿足高密萬兆園區(qū)核心與大容量數(shù)據(jù)中心對核心交換設備的帶寬吞吐要求。CSS集群技術可以提高系統(tǒng)的可靠性。S9300 CSS集群創(chuàng)新性采用交換網(wǎng)集群技術，克服了業(yè)界普遍采用的線卡集群跨框多次交換，交換效率低下的架構難題。采用交換網(wǎng)集群技術可以將集群主機交換網(wǎng)拉通，集群不占用線卡槽位，并提供業(yè)界最大的256G集群帶寬，同時可以通過跨框鏈路聚合提高鏈路的利用率，并消除單點故障。CSS集群可以簡化核心層的網(wǎng)絡管理，整個集群系統(tǒng)共用同一個虛擬IP，減少設備網(wǎng)元，簡化網(wǎng)絡拓撲管理，提高運營效率，降低維護成本。5) 運行中軟件升級ISSU保障網(wǎng)絡無中斷運行ISSU可以在設備軟件升級過程中，減少系統(tǒng)業(yè)務中斷時間，顯著地提高設備的可靠性。真正使企業(yè)網(wǎng)絡具備“全天候”提供業(yè)務能力，實現(xiàn)設備軟件升級流量“零”割接，應用不中斷。S9300提供無損升級、有損升級和快速重啟三種ISSU升級方式，系統(tǒng)可自動比較新舊版本各個模塊間差異，給出升級方式建議，供用戶選擇。支持ISSU升級失敗時自動回退（AutoRollback）版本，線卡采用新舊版本進程備份技術減少ISSU中斷應用的影響。6) 完善的QOS機制S9300提供高品質的QOS（Quality of Service）能力，支持Layer2~Layer7的流分類技術，具備完善的隊列調(diào)度算法、擁塞控制算法，能夠對數(shù)據(jù)流實現(xiàn)多級的精確調(diào)度，從而滿足不同用戶、不同業(yè)務等級的服務質量要求。S9300提供層次化QOS（HQOS）調(diào)度機制，通過在不同業(yè)務等級上分別設置單獨調(diào)度器，進一步精細化流量QOS特征，保障相應業(yè)務的服務質量。支持面向接入側的多級HQOS調(diào)度機制，多樣化，差異化滿足大型企業(yè)園區(qū)不同層次用戶設備的業(yè)務需求。7) 全業(yè)務以太交換平臺支持分布式L2/L3 MPLS VPN功能，支持MPLS、VPLS、HVPLS、VLL，滿足企業(yè)VPN等用戶的接入需求。支持多種速率WAN子卡，滿足廣域接入的需求。具備線速的跨VLAN組播復制能力，實現(xiàn)端口滿負荷復制，滿足多終端視頻監(jiān)控和視頻會議接入需求；完善的二、三層組播協(xié)議，可作為組播復制點和控制點，提供高性能的IP組播視頻和音頻應用。軟件平臺提供多種路由協(xié)議滿足企業(yè)建網(wǎng)要求，支持從中小企業(yè)到超大型跨國公司級大規(guī)模路由，支持IPv6，能夠為企業(yè)網(wǎng)絡提供平滑升級能力。支持標準POE，滿足企業(yè)在線供電業(yè)務需求。8) 虛擬化數(shù)據(jù)中心交換平臺S9300 CSS集群虛擬化技術，滿足數(shù)據(jù)中心對核心、匯聚設備大容量、高可靠、海量吞吐的要求。首創(chuàng)交換網(wǎng)集群，分布式跨設備鏈路聚合技術，有效利用數(shù)據(jù)中心內(nèi)部帶寬資源，實現(xiàn)數(shù)據(jù)中心內(nèi)部數(shù)據(jù)交換對物理鏈路無感知。針對大型分布式計算數(shù)據(jù)中心業(yè)務模型，專門設計大緩存線卡，支持單端口200ms數(shù)據(jù)流量緩存，解決分布式計算網(wǎng)絡瞬間流量過大丟包問題。每板最大64K硬件隊列，支持精細化QOS和流量管理，利用多種隊列調(diào)度算法、擁塞控制算法，能夠對數(shù)據(jù)流實現(xiàn)多級的精確調(diào)度，從而滿足不同用戶、不同業(yè)務等級的服務質量要求，準確地按需配置給不同用戶、不同業(yè)務流分配不同的優(yōu)先級和隊列，保證不同的帶寬、業(yè)務延遲和抖動性能需求。9) 高性能IPv6業(yè)務能力S9300軟硬件平臺均支持IPv6，取得工信部IPv6入網(wǎng)認證和IPv6 Ready第二階段金色認證。支持IPv4/IPv6雙協(xié)議棧，支持多種隧道技術，支持IPv6靜態(tài)路由、RIPng、OSPFvBGP+、ISISvIPv6組播，滿足IPv6獨立組網(wǎng)和IPv4/IPv6混合組網(wǎng)要求。10) 智能流量負載均衡S9300負載均衡器能夠保證服務可靠性，提高服務響應速度，方便業(yè)務靈活擴展。S9300負載均衡器支持加權輪詢、基于連接數(shù)、加權IP地址Hash和基于HTTP URL的Hash等多種均衡調(diào)度算法，全面滿足客戶負載均衡要求。門戶網(wǎng)站服務器經(jīng)常會遇到在同一時間大量針對同樣網(wǎng)頁、服務的請求，服務器針對請求會頻繁建立、拆除TCP連接，耗費大量CPU資源，影響服務器響應速度。S9300負載均衡器支持TCP和HTTP重用，減輕服務器拆除/建立TCP連接的負載，提高服務器訪問效率。S9300負載均衡器支持動態(tài)“鎖流”技術，滿足電子商務網(wǎng)站在線購物負載均衡需求。11