【文章內(nèi)容簡介】 對異常流量、惡意代碼、有目標(biāo)的滲透等情況的鑒別和防護；其四是建立深度應(yīng)用識別與攻擊檢測，對應(yīng)用數(shù)據(jù)包進行深度檢測，防范欺騙；其五是可以實現(xiàn)業(yè)務(wù)間隔離與帶寬資源控制，保障重要業(yè)務(wù)訪問；其六是保護數(shù)據(jù)傳輸安全，防止數(shù)據(jù)被竊聽和篡改；同時，還必須具有高可靠性的安全設(shè)備來防止由于高并發(fā)訪問量、系統(tǒng)故障等突發(fā)情況而帶來的訪問不便。此外，由于邊界是數(shù)據(jù)中心正常運行的重要節(jié)點，部署安全產(chǎn)品必須具有便于管理的特點，這就要求設(shè)備能夠適應(yīng)不同的網(wǎng)絡(luò)環(huán)境，配置盡量簡單方便，特征庫能夠自動升級，可以提供豐富的訪問審計功能，能夠?qū)α髁窟M行有效監(jiān)控，能夠提供豐富的攻擊統(tǒng)計，使數(shù)據(jù)中心系統(tǒng)管理員能夠充分掌握數(shù)據(jù)中心的安全態(tài)勢，為不斷地優(yōu)化安全策略提供依據(jù)。因此我們建議采用綜合的安全網(wǎng)關(guān)作為數(shù)據(jù)中心邊界接入和隔離，為其提供用戶安全接入、抗攻擊、入侵檢測、防病毒、高性能VPN、帶寬管理等綜合安全解決方案，避免了采用多廠家多型號的安全產(chǎn)品而帶來的管理和維護上的安全風(fēng)險。 以下為數(shù)據(jù)中心安全解決方案： 在省、市、區(qū)/縣數(shù)據(jù)中心邊界，我們采用MSG4000綜合安全網(wǎng)關(guān)作為外部移動用戶、遠(yuǎn)程管理以及第三方平臺等用戶和平臺的接入。MSG4000作為一款綜合安全產(chǎn)品，可根據(jù)用戶需求提供從100M到10G不同性能需求，省、市、區(qū)/縣數(shù)據(jù)中心可根據(jù)實際需要選用不同性能層次的MSG4000；同時MSG4000在功能上可為客戶提供安全防護、病毒過濾、入侵檢測、應(yīng)用識別、流量管理、WEB訪問控制、上網(wǎng)行為管理以及IPSEC/SSL VPN等功能，滿足客戶整個安全防護的需求，從而避免了由于設(shè)備數(shù)量、種類較多帶來的維護和管理上的不安全因素。第四章 方案的新技術(shù)特點Extreme公司作為以太網(wǎng)技術(shù)的先驅(qū)，一直致力于生產(chǎn)嚴(yán)格遵循業(yè)界標(biāo)準(zhǔn)的以及可與其他廠商兼容的產(chǎn)品，Extreme Networks是由100家國際知名網(wǎng)絡(luò)公司組成的千兆以太網(wǎng)聯(lián)盟和萬兆以太網(wǎng)聯(lián)盟的領(lǐng)導(dǎo)者。Extreme交換機的10GB以太網(wǎng)模塊在世界上第一個實現(xiàn)單跳網(wǎng)絡(luò)傳輸1 TB數(shù)據(jù)流量。Extreme公司一直走在10GB以太網(wǎng)交換技術(shù)開發(fā)的前沿，公司的發(fā)起人及首席技術(shù)官Steve Haddock現(xiàn)任IEEE ，該小組已經(jīng)為10GB以太網(wǎng)開發(fā)了行業(yè)標(biāo)準(zhǔn)。Extreme Networks的Tony Lee自2000年3月起，在兩年任期內(nèi)擔(dān)任萬兆以太網(wǎng)聯(lián)盟主席，另一名Extreme Networks技術(shù)專家Ameet Dhillon目前則擔(dān)任萬兆以太網(wǎng)聯(lián)盟理事。Extreme交換機的擴充能力和高端交換性能標(biāo)志著基于標(biāo)準(zhǔn)的高性能以太網(wǎng)技術(shù)的重大進步。萬兆以太網(wǎng)市場的全球市場占有率：Extreme在萬兆網(wǎng)絡(luò)應(yīng)用從初期就一直保持著市場領(lǐng)先地位網(wǎng)絡(luò)業(yè)務(wù)的不斷增多，各種應(yīng)用的流行，對網(wǎng)絡(luò)也提出了新的要求，傳統(tǒng)的以太網(wǎng)交換機由于基于共享的設(shè)計理念，對于音頻、視頻以及數(shù)據(jù)的各種業(yè)務(wù)的傳輸是無法識別區(qū)分的，對于多媒體業(yè)務(wù)的開展需要更智能的設(shè)備來支撐。高速的網(wǎng)絡(luò)數(shù)據(jù)傳輸應(yīng)用已經(jīng)不是一個高級網(wǎng)絡(luò)唯一的重要指標(biāo)。網(wǎng)絡(luò)的發(fā)展方向是支持線速無阻塞地傳輸各種多媒體等高級應(yīng)用，在開啟各種網(wǎng)絡(luò)應(yīng)用和功能的情況下，保證網(wǎng)絡(luò)暢通。這也是Extreme公司的強大技術(shù)優(yōu)勢所在。Extreme的智能網(wǎng)方案采用先進的組播技術(shù)和Qos保證機制，實現(xiàn)全線速的高質(zhì)量的業(yè)務(wù)運行。核心設(shè)備的大密度的高速端口使得網(wǎng)絡(luò)設(shè)備具有大容量的交換處理能力，以避免擁塞和延遲。Extreme采用無阻塞交換結(jié)構(gòu)，基于先進路由交換機制，能夠提供線速處理能力。以此為基礎(chǔ)，通過合理的網(wǎng)絡(luò)設(shè)計實現(xiàn)高性能的網(wǎng)絡(luò)。Extreme的全線三層產(chǎn)品交換產(chǎn)品均可實現(xiàn)滿載情況下的二層線速幀交換和三層線速包轉(zhuǎn)發(fā)。應(yīng)該強調(diào)的是，實際運行的網(wǎng)絡(luò)需要配置很多控制功能，如 QoS處理、ACL、策略路由等，此時需要交換機耗費更多的資源以實現(xiàn)相應(yīng)的網(wǎng)絡(luò)控制處理功能。Extreme產(chǎn)品能夠保證性能和功能的一致實現(xiàn)，即在打開諸多控制處理功能的前提下，依然保證數(shù)據(jù)包的真正線速處理和轉(zhuǎn)發(fā)。Extreme的共享內(nèi)存式的交換背板結(jié)構(gòu)大大提高了組播轉(zhuǎn)發(fā)的效率，節(jié)省了交換矩陣的帶寬。其他網(wǎng)絡(luò)廠家的交換機支持的組播、ACL、Qos等都是基于軟件技術(shù)和CPU運算的，由于占用大量處理器和內(nèi)存資源，經(jīng)常會導(dǎo)致丟失數(shù)據(jù)包，在性能上能上都達不到無丟包的限速傳輸，不得不以添加昂貴的內(nèi)存條為代價。 Extreme主推的真正的線速網(wǎng)絡(luò)是性能和功能的全面線速，包括線速路由、線速ACL、線速Q(mào)os、線速組播，Extreme的網(wǎng)絡(luò)設(shè)備的Qos、組播、ACL都是通過專門的集成芯片來完成，不占運行用系統(tǒng)資源，這也是目前業(yè)界唯一能夠同時實現(xiàn)四種線速的全線速核心交換設(shè)備。國防大學(xué)在新網(wǎng)絡(luò)未來要承載各種多媒體為基礎(chǔ)的新應(yīng)用，影像方面需要應(yīng)用到組播、Qos技術(shù)都會在本方案的設(shè)計中得到卓越的性能表現(xiàn)，優(yōu)異的全線速網(wǎng)絡(luò)設(shè)計能夠為科研和業(yè)務(wù)的效率提高作出巨大的貢獻。組播結(jié)構(gòu)傳統(tǒng)的組播結(jié)構(gòu)可以看到在傳統(tǒng)組播結(jié)構(gòu)上，要實現(xiàn)組播組的發(fā)送需要組播發(fā)送端通過傳統(tǒng)的交換矩陣多次發(fā)送，這樣造成了組播數(shù)據(jù)在整個轉(zhuǎn)發(fā)過程中速度慢，同時對端口帶寬占用資源過大、占用時間過長，容易造成端口擁塞。 Extreme Direct Attach技術(shù)今天的虛擬機管理程序利用一個內(nèi)部的“虛擬交換機”為在一個服務(wù)器內(nèi)部的虛擬機（VM）之間以及它們與外部網(wǎng)路之間提供網(wǎng)絡(luò)連接。這個虛擬交換機給數(shù)據(jù)中心網(wǎng)絡(luò)增加了第四個層級。今天的許多刀片服務(wù)器利用一個內(nèi)部的“刀片交換機”來匯聚刀片服務(wù)器機箱內(nèi)的每個物理服務(wù)器的數(shù)據(jù)流量。這些交換機給網(wǎng)絡(luò)增加了第五個層級。虛擬交換機和刀片交換機的組合把交換層級從3層提高到5五層，顯著提高了網(wǎng)絡(luò)延遲并增加了數(shù)據(jù)中心內(nèi)的網(wǎng)絡(luò)元素，這也增加了數(shù)據(jù)中心管理的復(fù)雜性。Extreme Networks的Direct Attached技術(shù)消除了虛擬交換機層，簡化網(wǎng)絡(luò)并提高網(wǎng)絡(luò)性能。Extreme Networks的BlackDiamond174。8800交換機中的8900系列交換模塊通過利用高密度板卡和布線系統(tǒng)，消除刀片交換機并使數(shù)據(jù)中心得到簡化，從而使數(shù)據(jù)中心的層級數(shù)量從5層簡化為3層。今天的數(shù)據(jù)中心網(wǎng)絡(luò)可以通過結(jié)構(gòu)化分“層”定義。通常情況下，有一個“網(wǎng)絡(luò)核心”，它是所有數(shù)據(jù)中心設(shè)備的中心連接點。這是數(shù)據(jù)中心網(wǎng)絡(luò)的“第一層級”。這個核心可能是一個交換機，或者更通常是由冗余交換機組成的集群來連接所有設(shè)備：網(wǎng)絡(luò)設(shè)備、安全設(shè)備和服務(wù)器。而網(wǎng)絡(luò)的“第二層級”是匯聚交換機，它連接接入交換機和核心。這層常用于大型數(shù)據(jù)中心，一般沒有必要用在中型數(shù)據(jù)中心?！暗谌龑蛹墶钡慕粨Q機，通常被稱為接入層交換機，它直接連接服務(wù)器。這些接入交換機通常被稱為“架頂式交換機”或“行末式交換機”。這種無論是兩個或三個層級的模式是已經(jīng)被多年使用，且廣為熟悉的。目前數(shù)據(jù)中心有兩個重要的趨勢，它們正在改變數(shù)據(jù)中心網(wǎng)絡(luò)的實現(xiàn)方式，一個在物理方面，而另一個在虛擬化方面。這些趨勢給數(shù)據(jù)中心網(wǎng)絡(luò)增加了額外的層級。趨勢一：虛擬化在過去幾年的數(shù)據(jù)中心最重要的發(fā)展趨勢是虛擬化的應(yīng)用。虛擬化是一種技術(shù)，使一臺物理服務(wù)器允許安裝多個虛擬服務(wù)器/虛擬機。這樣可以提高服務(wù)器利用率和有助于服務(wù)器的整合，對于災(zāi)難恢復(fù)和容量管理等有諸多好處。虛擬化在企業(yè)數(shù)據(jù)中心和主機托管數(shù)據(jù)中心中非常流行。而由于高性能計算集群或大型互聯(lián)網(wǎng)消費網(wǎng)站的自身性質(zhì)，虛擬化不太可能應(yīng)用在這些領(lǐng)域。虛擬交換機虛擬化引入了“虛擬交換機”的概念。在非虛擬化數(shù)據(jù)中心，每個服務(wù)器運行一個操作系統(tǒng)，該操作系統(tǒng)管理的物理網(wǎng)絡(luò)連接到與其它用戶和服務(wù)器。在虛擬化環(huán)境中，有多個虛擬機運行在物理服務(wù)器上。這些虛擬機必須共享一個物理網(wǎng)絡(luò)連接，并且需要互相通信。這給虛擬交換機或“vSwitch的”概念帶來了用武之地。虛擬交換機是一個運行在服務(wù)器上的模擬2層網(wǎng)絡(luò)設(shè)備的軟件。虛擬交換機的功能是使一個服務(wù)器內(nèi)的虛擬機可以互相通訊并且可以與外界通訊。虛擬交換機仿造了二/三層交換機的一部分功能以實現(xiàn)上述通訊功能。虛擬機運行在虛擬化管理軟件中，所以它不是通用的。目前VMware、Microsoft和Citrix在自己的虛擬化管理軟件中都含有虛擬交換機。另外其它一些網(wǎng)絡(luò)廠商也推出了額外收費的虛擬交換機，例如Cisco的Nexus 1000。一個需要注意的關(guān)鍵點是每個物理服務(wù)器都需要一個虛擬交換機。例如一個有40臺服務(wù)器的機柜需要40個虛擬交換機，一個有16個刀片的刀片服務(wù)器需要16個虛擬交換機。網(wǎng)絡(luò)中虛擬交換機的數(shù)量與網(wǎng)絡(luò)中運行虛擬化的服務(wù)器的數(shù)量是一一對應(yīng)的。這些虛擬機每一臺都需要管理和配置。虛擬交換機的優(yōu)點：虛擬交換機是由虛擬化管理軟件廠商發(fā)明的，用于虛擬機與網(wǎng)絡(luò)間進行通訊。直到現(xiàn)在，虛擬交換機還是虛擬機之間，虛擬機與其它服務(wù)器和用戶之間通訊的唯一手段。虛擬交換機帶來的問題：安全性：虛擬交換機的主要功能是滿足同一服務(wù)器內(nèi)部的虛擬機之間的通訊。因為虛擬交換機存在于服務(wù)器內(nèi)部，虛擬機和虛擬機之間的數(shù)據(jù)流量對于外界網(wǎng)絡(luò)是不可見的。這樣一些由非法虛擬機引發(fā)的安全問題很難被發(fā)現(xiàn)。網(wǎng)絡(luò)與系統(tǒng)管理軟件的可見性：同樣由于虛擬機和虛擬機之間的數(shù)據(jù)流量對于外界網(wǎng)絡(luò)是不可見的，對于虛擬機和虛擬機之間的流量的管理和監(jiān)控非常困難。傳統(tǒng)的基于端口鏡像的網(wǎng)絡(luò)工具無法在這樣的環(huán)境中使用。 性能的不可預(yù)見性：虛擬交換機使用軟件而非線速的交換機硬件來進行數(shù)據(jù)的轉(zhuǎn)發(fā)。虛擬交換機的轉(zhuǎn)發(fā)性能，以至于服務(wù)器的網(wǎng)絡(luò)性能都取決于CPU的可用資源，而該資源又取決于虛擬機上的應(yīng)用程序。這與服務(wù)器的優(yōu)化是矛盾的：當(dāng)服務(wù)器通過虛擬化增加利用率時，服務(wù)器的網(wǎng)絡(luò)性能實際會下降，這與使用虛擬化優(yōu)化服務(wù)器的設(shè)想是相違背的。額外的網(wǎng)絡(luò)層級：虛擬交換機為傳統(tǒng)的網(wǎng)絡(luò)增加了第四個層級。這樣增加了網(wǎng)絡(luò)的跳數(shù)從而增加了端到端的網(wǎng)絡(luò)延遲。虛擬交換機與服務(wù)器一一對應(yīng)引起的擴展性問題：每個服務(wù)器都需要一個虛擬交換機，整個數(shù)據(jù)中心的網(wǎng)絡(luò)設(shè)備數(shù)量大大增加。一個有40個服務(wù)器的機柜需要40個虛擬交換機，而只要一臺網(wǎng)絡(luò)交換機。這樣大大增加了數(shù)據(jù)中心內(nèi)需要管理和配置的網(wǎng)絡(luò)元素，增加了數(shù)據(jù)中心的運維成本。管理的復(fù)雜性：每一個虛擬化管理軟件廠家都有一個和自己軟件配合的虛擬交換機。在一個使用多種虛擬化軟件的數(shù)據(jù)中心，需要對多種虛擬機管理進行人員培訓(xùn)和制定管理流程，增加了數(shù)據(jù)中心管理成本。問責(zé)的沖突：到底由哪個部門來管理虛擬交換機呢？是因為虛擬交換機運行在服務(wù)器內(nèi)部而由服務(wù)器部門負(fù)責(zé)呢？還是因為它是網(wǎng)絡(luò)元素而由網(wǎng)絡(luò)部門負(fù)責(zé)呢？這些問題會帶來潛在的沖突，增加管理和實施解決方案的復(fù)雜度。趨勢二：刀片服務(wù)器刀片服務(wù)器為機架內(nèi)容納高密度服務(wù)器提供了解決方案。一個刀片服務(wù)器機箱可以容納16個服務(wù)器，一個標(biāo)準(zhǔn)機柜可以容納3個或4個刀片服務(wù)器機箱。這樣一個機柜可以容納48或64個高密度服務(wù)器，并且可以簡化管理。刀片服務(wù)器帶來的挑戰(zhàn)是它在一個機柜內(nèi)制造了很高的布線密度，使為每臺服務(wù)器提供布線成為挑戰(zhàn)。正是這個原因，各個刀片服務(wù)器的廠商都制造一種插入刀片服務(wù)器機箱的“刀片交換機”。刀片交換機的優(yōu)點：刀片交換機的主要優(yōu)點是簡化了布線。刀片交換機連接所有的服務(wù)器，并上連到網(wǎng)絡(luò)的第三個層級。如果沒有刀片交換機，每個服務(wù)器需要一個以太網(wǎng)連接到第三級網(wǎng)絡(luò)，這樣每個刀片服務(wù)器機箱就需要16根跳線。有了刀片交換機跳線數(shù)量減少為1到8根。刀片交換機的問題：刀片交換機給網(wǎng)絡(luò)帶來高復(fù)用比，這樣可能造成網(wǎng)絡(luò)擁塞并限制服務(wù)器的性能。一個典型的刀片交換機包含24個以上的端口或連接。其中16個端口用來連接服務(wù)器，另外8個端口用來連接接入層網(wǎng)絡(luò)設(shè)備。這樣造成2:1復(fù)用，使網(wǎng)絡(luò)最高性能減少50％。從物理網(wǎng)絡(luò)的角度看，刀片交換機給網(wǎng)絡(luò)增加了“第五層級”。如我們前面討論的，每個網(wǎng)絡(luò)層級都因為轉(zhuǎn)發(fā)時延帶來端到端的延遲。這個額外的層級增加了網(wǎng)絡(luò)元素的數(shù)量，從而增加了成本，包括刀片交換機本身的成本和配置管理刀片交換機的時間成本。因為刀片交換機是一個根據(jù)刀片服務(wù)器機箱定做的產(chǎn)品，它與數(shù)據(jù)中心匯聚和接入層級的獨立交換機相比通常具有不同的功能和管理結(jié)構(gòu)。這帶來的管理的復(fù)雜性，因為網(wǎng)絡(luò)管理員需要學(xué)習(xí)和管理不同的交換機系統(tǒng)和管理軟件。刀片交換機同樣帶來組織管理上的問題。它是應(yīng)該由管理核心/匯聚/接入交換機的網(wǎng)絡(luò)部門管理？還是因為它在服務(wù)器內(nèi)部而由服務(wù)器部門管理？這個職責(zé)的混淆會在配置不兼容以及涉及多個部門在數(shù)據(jù)中心排錯時帶來問題。虛擬化和刀片服務(wù)器趨勢的疊加效果是把網(wǎng)絡(luò)層級從3層增加到5層。當(dāng)虛擬交換機引入時增加了1層，刀片交換機引入時又增加了1層。由于顯著地增加了網(wǎng)絡(luò)復(fù)用比以及端到端的延時，5層網(wǎng)絡(luò)的性能低于3層網(wǎng)絡(luò)。另外這樣還需要更多電力和冷卻能力并大大增加管理成本。Direct Attach減少網(wǎng)絡(luò)層級 什么是Extreme Networks的Direct Attach？Direct Attach是Extreme Networks實現(xiàn)虛擬機在網(wǎng)絡(luò)中進行交換的技術(shù)。一些廠家通過在服務(wù)器中的虛擬交換機實現(xiàn)虛擬機數(shù)據(jù)交換。而Extreme Networks的Direct Attach技術(shù)把虛擬機之間的數(shù)據(jù)交換功能從服務(wù)器中遷移回網(wǎng)絡(luò)設(shè)備中。這樣使管理員可以在享受服務(wù)器虛擬化帶來的好處的同時利用成熟的、線速的網(wǎng)絡(luò)交換機處理虛擬機數(shù)據(jù)交換。從本質(zhì)上講，Direct Attach允許虛擬機無需通過服務(wù)器內(nèi)的軟交換機直接連接到網(wǎng)絡(luò)。Direct Attach通過去掉虛擬交換機減少了網(wǎng)絡(luò)層級，從而節(jié)約成本，降低延時，減少網(wǎng)絡(luò)復(fù)用并且簡化了管理。最后它使管理員在無需考慮虛擬機管理軟件的情況下實施一致的網(wǎng)絡(luò)策略，保證網(wǎng)絡(luò)的安全且符合規(guī)定。另外，高扇出的交換機模塊以及專用的布線方案可以使刀片服務(wù)器機箱中的服務(wù)器直接連接到數(shù)據(jù)中心網(wǎng)絡(luò)，從而使數(shù)據(jù)中心網(wǎng)絡(luò)簡化。Direct Attach如何工作 Direct Attach軟件包是ExtremeXOS的一個可加載模塊。它可以被安裝在基于ExtremeXOS的Extreme Networks的Summit系列堆疊交換機（包括Summit X450、Summit X480、Summit X650）和帶有8900系列模塊的BlackDiamond 8800交換機。Direct