【正文】 絡(luò)結(jié)構(gòu)，推薦采用高可靠的RPR環(huán)網(wǎng)結(jié)構(gòu)或多設(shè)備冗余的星型結(jié)構(gòu)。對(duì)于園區(qū)網(wǎng)核心層設(shè)備，應(yīng)該在提供大容量、高性能L2/L3交換服務(wù)基礎(chǔ)上，能夠進(jìn)一步融合網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，為園區(qū)構(gòu)建融合業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)，進(jìn)而幫助用戶(hù)實(shí)現(xiàn)IT資源整合的需求。 高可靠性園區(qū)高可靠網(wǎng)絡(luò)設(shè)計(jì)方案對(duì)于中型園區(qū)網(wǎng)絡(luò)，推薦采用千兆接入組網(wǎng)模型。為用戶(hù)提供三層千兆到桌面的接入服務(wù)，整網(wǎng)配置OSPF協(xié)議，具有網(wǎng)絡(luò)故障收斂速度快、易于管理和維護(hù)的特點(diǎn)。通過(guò)把VLAN終結(jié)在接入端口，限制廣播域范圍，較少?gòu)V播報(bào)文對(duì)網(wǎng)絡(luò)帶寬的消耗。從接入層開(kāi)始即可進(jìn)行快速三層交換，利用網(wǎng)絡(luò)中存在的等價(jià)多路徑實(shí)現(xiàn)業(yè)務(wù)流量的負(fù)載分擔(dān)。網(wǎng)絡(luò)按照分層、模塊化的思路進(jìn)行設(shè)計(jì)和規(guī)劃，根據(jù)業(yè)務(wù)、區(qū)域等規(guī)劃因素進(jìn)行模塊化區(qū)域劃分，每個(gè)區(qū)域有自己的匯聚核心。網(wǎng)絡(luò)各層設(shè)備都為三層設(shè)備，支持OSPF。在接入層設(shè)備上提供千兆端口接入，支持語(yǔ)音和POE。 接入層千兆雙歸屬到匯聚層設(shè)備，提供鏈路冗余備份，利用存在的等值路由（ECMP）實(shí)現(xiàn)流量負(fù)載分擔(dān)；區(qū)域匯聚層設(shè)備之間提供千兆鏈路連接，雙機(jī)備份和快速路由，也可采用強(qiáng)堆疊技術(shù)，提供分布式路由和分布式設(shè)備管理，使整個(gè)堆疊設(shè)備組成一臺(tái)交換機(jī)進(jìn)行路由轉(zhuǎn)發(fā)和管理，不會(huì)因?yàn)槎询B組單臺(tái)設(shè)備故障引起整個(gè)接入業(yè)務(wù)中斷。匯聚層千兆歸屬到網(wǎng)絡(luò)核心，根據(jù)實(shí)際帶寬需要也可千兆鏈路捆綁雙上行到核心，核心設(shè)備間通過(guò)千兆捆綁鏈路連接，完成高速數(shù)據(jù)交換。隨著園區(qū)網(wǎng)絡(luò)規(guī)模和復(fù)雜度的不斷增加，特別是對(duì)于集中服務(wù)和集中辦公的業(yè)務(wù)而言，需要對(duì)用戶(hù)和網(wǎng)絡(luò)資源進(jìn)行隔離，以提高安全性和靈活的訪問(wèn)控制能力。一個(gè)園區(qū)，需要生產(chǎn)平臺(tái)、管理運(yùn)營(yíng)、銷(xiāo)售、安保監(jiān)控等業(yè)務(wù)隔離。隔離的手段可以是物理隔離，也可以是邏輯隔離。相對(duì)于物理隔離，邏輯隔離（網(wǎng)絡(luò)虛擬化）具有無(wú)需重復(fù)建設(shè)、能提供統(tǒng)一的安全、管理、HA策略等優(yōu)點(diǎn)，并且能夠更好地提供面向應(yīng)用的服務(wù)。一般園區(qū)網(wǎng)虛擬化的需求主要如下：橫向不同部門(mén)/分類(lèi)間業(yè)務(wù)的隔離，提高涉密業(yè)務(wù)的安全性，同時(shí)提供訪問(wèn)控制策略，滿(mǎn)足不同部門(mén)間業(yè)務(wù)互訪的要求為園區(qū)內(nèi)各部門(mén)提供統(tǒng)一的Internet出口，供內(nèi)部用戶(hù)訪問(wèn)Internet和為外部公眾提供應(yīng)用服務(wù)，進(jìn)行集中控制管理提供廣域網(wǎng)接口，實(shí)現(xiàn)相同部門(mén)/種類(lèi)業(yè)務(wù)的縱向互通數(shù)據(jù)中心資源邏輯上分三部分：部門(mén)內(nèi)部數(shù)據(jù)區(qū)、共享數(shù)據(jù)區(qū)和對(duì)外服務(wù)數(shù)據(jù)區(qū)，分別為獨(dú)立部門(mén)內(nèi)部、業(yè)務(wù)交互部門(mén)和外部公眾提供服務(wù)為重要業(yè)務(wù)提供端到端的Qos保證為了滿(mǎn)足園區(qū)網(wǎng)虛擬化的需求，公司提出了EAD＋MPLS VPN的解決方案，可以實(shí)現(xiàn)與企業(yè)各部門(mén)工作流相適應(yīng)的、從客戶(hù)側(cè)就開(kāi)始安全控制的端到端的虛擬通道，實(shí)現(xiàn)和用戶(hù)上層應(yīng)用系統(tǒng)權(quán)限無(wú)縫匹配。它主要包括如下內(nèi)容：用戶(hù)端點(diǎn)準(zhǔn)入控制對(duì)用戶(hù)的安全認(rèn)證和權(quán)限管理，使用我司的EAD解決方案（支持portal、VPN等認(rèn)證方式），在接入邊緣設(shè)備作認(rèn)證；把CAMS服務(wù)器\補(bǔ)丁服務(wù)器\病毒服務(wù)器等集中部署在數(shù)據(jù)中心內(nèi)部共享區(qū)，內(nèi)部所有用戶(hù)接入網(wǎng)絡(luò)都需要認(rèn)證，進(jìn)行集中的安全管理業(yè)務(wù)邏輯隔離園區(qū)各部門(mén)共用一套物理網(wǎng)絡(luò)，邏輯隔離使用VRF+MPLS VPN技術(shù)。各部門(mén)用戶(hù)通過(guò)CE\MCE設(shè)備接入，通過(guò)二層VLAN或VRF進(jìn)行隔離。核心層用MPLS標(biāo)簽轉(zhuǎn)發(fā)，控制PE設(shè)備VPN路由引入，建立專(zhuān)用的VPN轉(zhuǎn)發(fā)通道，為數(shù)據(jù)中心提供PE或MCE接口，兼容數(shù)據(jù)中心內(nèi)部業(yè)務(wù)邏輯隔離和物理隔離。園區(qū)網(wǎng)絡(luò)支持端到端的業(yè)務(wù)邏輯隔離，支持Qos。集中服務(wù)管理為園區(qū)內(nèi)用戶(hù)提供統(tǒng)一的Internet\WAN出口，進(jìn)行集中監(jiān)控、管理。網(wǎng)絡(luò)管理使用的iMC網(wǎng)絡(luò)綜合管理中心，內(nèi)嵌的MPLS VPN Manager支持對(duì)MPLS VPN的專(zhuān)業(yè)管理。各種管理\策略服務(wù)器、應(yīng)用服務(wù)器、存儲(chǔ)設(shè)備等統(tǒng)一部署在數(shù)據(jù)中心，為全網(wǎng)提供統(tǒng)一的應(yīng)用和策略服務(wù)。如下是園區(qū)網(wǎng)虛擬化MPLS VPN典型組網(wǎng)：推薦的典型園區(qū)MPLS VPN組網(wǎng)模型是核心層作P設(shè)備、匯聚層作PE設(shè)備，IGP協(xié)議使用OSPF。核心設(shè)備可根據(jù)網(wǎng)絡(luò)規(guī)模和實(shí)際需要使用雙機(jī)熱備份或環(huán)形核心，使用RPR/RRPP提供網(wǎng)絡(luò)可靠性。在PE設(shè)備上創(chuàng)建不同的VPN實(shí)例，引入CE，實(shí)現(xiàn)不同部門(mén)/業(yè)務(wù)的隔離。PE與CE間配置EBGP，引入VPN路由，也可使用OSPF或靜態(tài)路由。PE設(shè)備下可根據(jù)使用需要接入CE或MCE設(shè)備。為滿(mǎn)足可靠性要求，對(duì)重要的設(shè)備提供雙上行冗余連接該組網(wǎng)的特點(diǎn)是使用三層交換機(jī)組網(wǎng)，MPLS轉(zhuǎn)發(fā)和VPN功能由中高端的75E和95承擔(dān)，具有較好的數(shù)據(jù)轉(zhuǎn)發(fā)性能和業(yè)務(wù)隔離能力；CEPE、PEP間可方便配置雙歸屬鏈路，提高整網(wǎng)可靠性；用戶(hù)接入層可根據(jù)需要方便地選擇CE、MCE設(shè)備接入網(wǎng)絡(luò)。公司的EAD+MPLS VPN的方案能夠保證移動(dòng)用戶(hù)能夠正確的接入相應(yīng)的VPN：我們可以按照企業(yè)業(yè)務(wù)實(shí)際的需求，在不同的PE上配置相應(yīng)可以接入的VPN，不同的VLAN端口對(duì)應(yīng)各自相關(guān)的VPN。首先在公司的CAMS服務(wù)器上指定好不同用戶(hù)的用戶(hù)名＋密碼和相關(guān)的VLAN的對(duì)應(yīng)關(guān)系。當(dāng)用戶(hù)通過(guò)EAD終端輸入用戶(hù)名和密碼后，CAMS服務(wù)器查找相關(guān)信息，分配該用戶(hù)接入到相關(guān)的VLAN中，也就是進(jìn)入到相關(guān)的VPN中。公司的EAD+MPLS VPN的網(wǎng)絡(luò)虛擬化方案在業(yè)界獨(dú)創(chuàng)性的實(shí)現(xiàn)了提供與企業(yè)各部門(mén)業(yè)務(wù)工作流完全匹配的從客戶(hù)側(cè)開(kāi)始的安全控制的端到端的虛擬邏輯通道，使得各部門(mén)的業(yè)務(wù)數(shù)據(jù)能夠真正實(shí)現(xiàn)從端到端的安全虛擬通道中傳輸，起到了端到端有效的全程隔離作用，使得企業(yè)網(wǎng)絡(luò)和應(yīng)用實(shí)現(xiàn)無(wú)縫融合。整體網(wǎng)絡(luò)安全作為一個(gè)整體的安全架構(gòu)，從局部安全、全局安全、智能安全三個(gè)層面，為用戶(hù)提供一個(gè)多層次、全方位的立體防護(hù)體系，使網(wǎng)絡(luò)成為智能化的安全實(shí)體。局部安全是基礎(chǔ)，即對(duì)可能出現(xiàn)問(wèn)題的節(jié)點(diǎn)部署安全產(chǎn)品，進(jìn)行2～7層的威脅防范。這種方式簡(jiǎn)單有效并有極強(qiáng)的針對(duì)性，適合網(wǎng)絡(luò)建設(shè)已經(jīng)比較完善而安全因素考慮不足的情況。在這個(gè)層面，強(qiáng)調(diào)通過(guò)“集成”來(lái)提供最佳的防御效果，即通過(guò)在網(wǎng)絡(luò)產(chǎn)品上集成安全技術(shù)、在安全產(chǎn)品上集成網(wǎng)絡(luò)技術(shù)以及網(wǎng)絡(luò)與安全的插卡集成等方式，實(shí)現(xiàn)安全技術(shù)和網(wǎng)絡(luò)技術(shù)的初步融合。全局安全是在局部安全基礎(chǔ)上的提升，借助于IToIP的網(wǎng)絡(luò)優(yōu)勢(shì)，通過(guò)技術(shù)和產(chǎn)品的協(xié)作，將網(wǎng)絡(luò)中的多個(gè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備和各組件聯(lián)動(dòng)起來(lái)，并通過(guò)多層次的安全策略和流程控制，向用戶(hù)提供端到端的安全解決方案。以的端點(diǎn)準(zhǔn)入防御（EAD）解決方案為例，它從控制用戶(hù)終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)安全客戶(hù)端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶(hù)終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶(hù)的網(wǎng)絡(luò)使用行為，有效地加強(qiáng)了用戶(hù)終端的主動(dòng)防御能力，為企業(yè)網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。智能安全是在全局安全之上的更高安全層面，一方面將企業(yè)的業(yè)務(wù)需求及流程建設(shè)充分融合到網(wǎng)絡(luò)安全建設(shè)中來(lái)，另一方面考慮到了如何遵循各種安全標(biāo)準(zhǔn)和法律法規(guī)。建設(shè)智能安全時(shí)，首先用戶(hù)提供專(zhuān)業(yè)的安全評(píng)估，量身定制一整套閉環(huán)的安全建設(shè)方案；然后采用開(kāi)放、融合的OAA（開(kāi)放應(yīng)用架構(gòu)）來(lái)應(yīng)用各種安全技術(shù)，不僅滿(mǎn)足用戶(hù)當(dāng)前安全需求，還能夠針對(duì)新的安全威脅實(shí)現(xiàn)彈性擴(kuò)展；最后，由安全統(tǒng)一的管理平臺(tái)實(shí)現(xiàn)安全策略集中下發(fā)、安全事件實(shí)時(shí)感知和關(guān)聯(lián)分析、安全部件協(xié)同響應(yīng)。整體網(wǎng)絡(luò)安全能夠在保證安全性的基礎(chǔ)上大大提高用戶(hù)網(wǎng)絡(luò)對(duì)安全威脅的智能防御能力，并且將安全的定義從網(wǎng)絡(luò)威脅抵御擴(kuò)大到業(yè)務(wù)流程控制的層面，為企業(yè)打造一個(gè)領(lǐng)先的、全面的、可信賴(lài)的IP安全網(wǎng)絡(luò)