【正文】 用進(jìn)行交換、路由、控制、加速，從而保障用戶信息安全、提升用戶體驗(yàn)，降低用戶總體擁有成本（TCO）。第六章 方案規(guī)劃與設(shè)計(jì)根據(jù)對XX園區(qū)網(wǎng)的需求分析，本次設(shè)計(jì)方案規(guī)劃如下：圖61 智慧園區(qū)網(wǎng)設(shè)計(jì)物理拓?fù)鋱D62 智慧園區(qū)網(wǎng)設(shè)計(jì)邏輯拓?fù)淙鐖D662所示，XX園區(qū)網(wǎng)內(nèi)外網(wǎng)需要隔離，既需考慮使用效果，又需要考慮建設(shè)與運(yùn)維成本的投入。面對這樣的需求，需建設(shè)一套簡單、可靠的物理網(wǎng)上承載內(nèi)外網(wǎng)兩部分業(yè)務(wù)，兩部分的隔離效果與物理隔離相當(dāng)，并且確保兩套網(wǎng)絡(luò)內(nèi)部的安全防護(hù)，整體安全防護(hù)水平滿足等級保護(hù)網(wǎng)絡(luò)安全部分的所有要求。 物理網(wǎng)絡(luò)架構(gòu)如上所述，XX園區(qū)網(wǎng)采用一套物理網(wǎng)絡(luò)，承載內(nèi)外網(wǎng)，實(shí)現(xiàn)安全隔離。物理網(wǎng)絡(luò)采用“核心匯聚接入”組網(wǎng)架構(gòu)，基于100G的核心設(shè)備、骨干萬兆、千兆到桌面，滿足辦公人員的上網(wǎng)需求。 核心層核心區(qū)負(fù)責(zé)園區(qū)網(wǎng)網(wǎng)絡(luò)數(shù)據(jù)的高速轉(zhuǎn)發(fā)，是整網(wǎng)的關(guān)鍵區(qū)域，設(shè)備承載的壓力較大。因此核心節(jié)點(diǎn)的擴(kuò)建，通常必須遵循以下幾個(gè)原則：1) 必須具備高可靠性及高冗余性；2) 必須具備模塊化產(chǎn)品設(shè)計(jì)；3) 必須具有迅速升級能力；4) 必須具有較少的時(shí)延和好的可管理性；5) 必須具有多業(yè)務(wù)應(yīng)用擴(kuò)展性；本方案在核心區(qū)部署兩臺Clos架構(gòu)大緩存數(shù)據(jù)中心級別交換機(jī)，通過橫向多虛一技術(shù)將兩臺設(shè)備虛擬化成一臺邏輯設(shè)備。核心交換機(jī)在網(wǎng)絡(luò)特性上，需支持IPv4/IPv三層/二層MPLS VPN、OSPF等豐富的網(wǎng)絡(luò)特性，并提供千兆電、千兆光、萬兆電、萬兆光等各種高密端口?？煽啃陨?，方案部署雙核心，采用橫向多虛一技術(shù)虛擬化成一臺邏輯設(shè)備。所有接入設(shè)備通過雙鏈路上行，提高鏈路可靠性。設(shè)備自身可靠性上，提供主控冗余、交換網(wǎng)板冗余、N+M電源、不間斷重啟等技術(shù)，％的電信級可靠性。 匯聚層匯聚層的主要任務(wù)是把大量來自接入層的訪問路徑進(jìn)行匯聚和集中，承擔(dān)路由聚合和訪問控制的任務(wù)。這就要求匯聚層設(shè)備必須具備良好的可擴(kuò)展性，必須使用模塊化的體系結(jié)構(gòu)，以便匯接更多的接入層設(shè)備。通常也同樣必須遵循以下幾個(gè)原則：6) 必須具備高可靠性及高冗余性；7) 必須具備模塊化產(chǎn)品設(shè)計(jì)；8) 必須具有迅速升級能力；9) 必須具有較少的時(shí)延和好的可管理性；10) 必須具有多業(yè)務(wù)應(yīng)用擴(kuò)展性；本方案在每個(gè)匯聚層部署兩臺機(jī)框式交換機(jī)，通過橫向多虛一技術(shù)將兩臺設(shè)備虛擬化成一臺邏輯設(shè)備。匯聚交換機(jī)在網(wǎng)絡(luò)特性上，需支持IPv4/IPv三層/二層MPLS VPN、OSPF等豐富的網(wǎng)絡(luò)特性，并提供千兆電、千兆光、萬兆電、萬兆光等各種高密端口?？煽啃陨?，方案部署雙核心，采用橫向多虛一技術(shù)虛擬化成一臺邏輯設(shè)備。所有接入設(shè)備通過雙鏈路上行，提高鏈路可靠性。設(shè)備自身可靠性上，提供主控冗余、交換網(wǎng)板冗余、N+M電源、不間斷重啟等技術(shù)，％的電信級可靠性。本次方案安全均部署在匯聚層及出口，并以插卡模式與匯聚交換機(jī)完全融合并同步虛擬化，所以要求本次匯聚交換機(jī)能夠支持至少FW、IPS、WAF、漏洞掃描、負(fù)載均衡、上網(wǎng)行為管理及流控等業(yè)務(wù)模塊擴(kuò)展。 接入層接入層設(shè)備負(fù)責(zé)高密的接入，根據(jù)網(wǎng)絡(luò)的信息點(diǎn)數(shù)量，分別部署24口交換機(jī)和48口交換機(jī)。接入交換機(jī)通過萬兆光纖上連至匯聚交換機(jī)。接入層交換機(jī)需具備高性能L24業(yè)務(wù)處理能力和和高密千兆端口，并可根據(jù)應(yīng)用場景靈活擴(kuò)展萬兆上行和PoE+端口供電能力，充分滿足園區(qū)多業(yè)務(wù)匯聚、中小企業(yè)核心、千兆到桌面等多種應(yīng)用場景需求。此外，環(huán)境感知、環(huán)境監(jiān)控和070℃寬工作溫度等環(huán)境增強(qiáng)設(shè)計(jì)，降低維護(hù)成本，簡化網(wǎng)絡(luò)管理，使網(wǎng)絡(luò)應(yīng)用率先進(jìn)入低碳時(shí)代。 邏輯網(wǎng)絡(luò)，內(nèi)外網(wǎng)由于使用功能、運(yùn)行應(yīng)用、面向人員的不同，需要進(jìn)行隔離。在本方案中，通過橫向一虛多虛擬化技術(shù)可以將以上的一套物理網(wǎng)進(jìn)行操作系統(tǒng)級虛擬化，虛擬化為內(nèi)外兩套網(wǎng)絡(luò)。兩套網(wǎng)絡(luò)之間實(shí)現(xiàn)類似物理隔離的效果。如圖63所示。圖63 智慧園區(qū)網(wǎng)設(shè)計(jì)邏輯拓?fù)?安全設(shè)計(jì)安全設(shè)計(jì)與網(wǎng)絡(luò)設(shè)計(jì)密不可分，安全設(shè)備在網(wǎng)絡(luò)中的部署時(shí)間分為兩種情況：一、網(wǎng)絡(luò)設(shè)計(jì)、實(shí)施已經(jīng)完成，用戶才考慮加入安全設(shè)備，以添加安全的方式設(shè)計(jì)的網(wǎng)絡(luò)安全會(huì)使設(shè)計(jì)人員在設(shè)計(jì)、實(shí)施過程中疲于奔命，并且涉及結(jié)果會(huì)影響網(wǎng)絡(luò)性能，造成網(wǎng)絡(luò)運(yùn)行的負(fù)擔(dān)；二、設(shè)計(jì)網(wǎng)絡(luò)時(shí)同時(shí)考慮安全設(shè)計(jì)，達(dá)成安全設(shè)施與其他網(wǎng)絡(luò)基礎(chǔ)設(shè)施的一種平衡，這樣不僅提高網(wǎng)絡(luò)安全，也提高了網(wǎng)絡(luò)可靠性與伸縮性。因此本方案在進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)的同時(shí)，進(jìn)行安全設(shè)計(jì)。在設(shè)計(jì)思路上，整網(wǎng)安全核心與網(wǎng)絡(luò)核心一體化，實(shí)現(xiàn)L2~7融合的簡單、智能、可靠的網(wǎng)絡(luò)。安全設(shè)計(jì)內(nèi)容上，包括幾方面的內(nèi)容：內(nèi)網(wǎng)安全、外網(wǎng)安全。 內(nèi)網(wǎng)安全設(shè)計(jì)如上所述，內(nèi)網(wǎng)網(wǎng)的安全保障通過在內(nèi)網(wǎng)匯聚（主要在服務(wù)器匯聚及DMZ區(qū)匯聚及出口，同時(shí)在各功能區(qū)匯聚處可根據(jù)需求）部署負(fù)載均衡、入侵防御、防病毒、漏洞掃描、WAF、上網(wǎng)行為管理及流量控制等業(yè)務(wù)板卡來實(shí)現(xiàn)。匯聚層產(chǎn)品支持多種類型的安全業(yè)務(wù)板卡，在與網(wǎng)絡(luò)融合的基礎(chǔ)上，這些板卡可以提供豐富的安全功能。通過智能流定義技術(shù)，可以指定特定的數(shù)據(jù)流通過特定的業(yè)務(wù)板卡，業(yè)務(wù)板卡的通過順序也可自行定義。這樣就可以針對不同應(yīng)用提供不同的安全防護(hù)。同時(shí)，智能流定義通過圖形化配置，配置過程十分簡單，極大地簡化安全策略的部署。 外網(wǎng)安全設(shè)計(jì)與內(nèi)網(wǎng)類似，外網(wǎng)的安全保障通過在外網(wǎng)出口部署負(fù)載均衡、入侵防御、防病毒、上網(wǎng)行為管理及流量控制等業(yè)務(wù)板卡來實(shí)現(xiàn)。匯聚層產(chǎn)品支持多種類型的安全業(yè)務(wù)板卡，在與網(wǎng)絡(luò)融合的基礎(chǔ)上，這些板卡可以提供豐富的安全功能。通過智能流定義技術(shù)，可以指定特定的數(shù)據(jù)流通過特定的業(yè)務(wù)板卡，業(yè)務(wù)板卡的通過順序也可自行定義。這樣就可以針對不同應(yīng)用提供不同的安全防護(hù)。同時(shí)，智能流定義通過圖形化配置，配置過程十分簡單，極大地簡化安全策略的部署。 網(wǎng)絡(luò)安全管理在網(wǎng)絡(luò)管理方面，為了便于XX園區(qū)網(wǎng)網(wǎng)絡(luò)管理人員的管理及維護(hù)，本方案采用統(tǒng)一管理中心網(wǎng)絡(luò)管理軟件。用戶可以根據(jù)自己的管理需要和網(wǎng)絡(luò)情況靈活選擇自己需要的組件，真正實(shí)現(xiàn)“按需建構(gòu)，全網(wǎng)管理”。統(tǒng)一管理中心網(wǎng)絡(luò)管理軟件可實(shí)現(xiàn)網(wǎng)絡(luò)安全可視化管理，能對全網(wǎng)進(jìn)行安全策略集中管理、統(tǒng)一日志收集和分析、軟件集中升級等功能，并可以支持分級管理，方便靈活的定制管理權(quán)限。將原本分布在網(wǎng)絡(luò)中各自獨(dú)立的安全設(shè)備進(jìn)行統(tǒng)一的管理和監(jiān)控，對網(wǎng)絡(luò)事件進(jìn)行專業(yè)深入的統(tǒng)計(jì)分析，并通過豐富的報(bào)表展示網(wǎng)絡(luò)安全狀態(tài)，形成一個(gè)集統(tǒng)計(jì)分析和管理配置于一體的安全管理解決方案。 n 網(wǎng)絡(luò)集中監(jiān)視網(wǎng)絡(luò)管理軟件提供統(tǒng)一拓?fù)浒l(fā)現(xiàn)功能，實(shí)現(xiàn)全網(wǎng)監(jiān)控，可以實(shí)時(shí)監(jiān)控所有設(shè)備的運(yùn)行狀況，并根據(jù)網(wǎng)絡(luò)運(yùn)行環(huán)境變化提供合適的方式對網(wǎng)絡(luò)參數(shù)進(jìn)行配置修改，保證網(wǎng)絡(luò)以最優(yōu)性能正常運(yùn)行。n 故障管理故障管理主要功能是對全網(wǎng)設(shè)備的告警信息和運(yùn)行信息進(jìn)行實(shí)時(shí)監(jiān)控，查詢和統(tǒng)計(jì)設(shè)備的告警信息。n 性能監(jiān)控網(wǎng)管系統(tǒng)提供豐富的性能管理功能，同時(shí)以直觀的方式顯示給用戶。通過性能任務(wù)的配置，可自動(dòng)獲得網(wǎng)絡(luò)的各種當(dāng)前性能數(shù)據(jù)，并支持設(shè)置性能的門限，當(dāng)性能超過門限時(shí)，可以以告警的方式通知網(wǎng)管系統(tǒng)。通過統(tǒng)計(jì)不同線路、不同資源的利用情況，為優(yōu)化或擴(kuò)充網(wǎng)絡(luò)提供依據(jù)。n 安全事件智能分析對安全信息與事件進(jìn)行分析，關(guān)聯(lián)聚合常見的安全問題，過濾重復(fù)信息，發(fā)現(xiàn)隱藏的安全問題，使管理員能夠輕松了解突發(fā)事件的起因、發(fā)生位置、被攻擊設(shè)備和端口，并能根據(jù)預(yù)先制定的策略做出快速的響應(yīng)，保障網(wǎng)絡(luò)安全。n 靈活的部署方式支持集中管理和分級管理兩種模式。集中管理可以針對網(wǎng)絡(luò)中所有安全設(shè)備進(jìn)行統(tǒng)一的配置和安全事件管理；對于較大規(guī)模和分區(qū)域的網(wǎng)絡(luò)環(huán)境，還支持通過分級管理的方式進(jìn)行總部和分部的統(tǒng)一管理。n 方便安全的遠(yuǎn)程管理統(tǒng)一管理中心采用B/S架構(gòu)，內(nèi)建HTTP服務(wù)器，管理員可以在任意地方通過HTTP或HTTPS方式對統(tǒng)一管理中心進(jìn)行監(jiān)控和管理。第七章 方案優(yōu)勢說明本方案基于對用戶需求、行業(yè)特點(diǎn)的深入分析，結(jié)合專業(yè)的網(wǎng)絡(luò)設(shè)計(jì)，創(chuàng)新的橫向虛擬化、縱向虛擬化、網(wǎng)安融合等技術(shù)，實(shí)現(xiàn)了項(xiàng)目建設(shè)目標(biāo)，給用戶搭建了一張簡單、智能、可靠的網(wǎng)絡(luò)。方案整體優(yōu)勢如下：1) 一網(wǎng)多分。采用虛擬園區(qū)網(wǎng)的設(shè)計(jì)思路，在一套物理網(wǎng)絡(luò)虛擬化出多套邏輯網(wǎng)絡(luò)，邏輯網(wǎng)絡(luò)彼此相互獨(dú)立，資源按需調(diào)整。改變了傳統(tǒng)多套物理網(wǎng)的建設(shè)模式，網(wǎng)絡(luò)具有極大的靈活性、彈性，同時(shí)也避免了重復(fù)投資、重復(fù)布線，極大節(jié)省成本。2) 隔離徹底、簡單。通過先進(jìn)的虛擬化技術(shù)，實(shí)現(xiàn)了多套網(wǎng)絡(luò)之間操作系統(tǒng)級的隔離，隔離效果類似物理隔離。在隔離范圍上，不知實(shí)現(xiàn)了網(wǎng)絡(luò)層的隔離，更創(chuàng)新地實(shí)現(xiàn)了L2~7隔離，隔離更為徹底。同時(shí)實(shí)現(xiàn)方式非常簡單，避免了傳統(tǒng)邏輯隔離技術(shù)的極其復(fù)雜的配置、運(yùn)維，同時(shí)網(wǎng)絡(luò)結(jié)構(gòu)極大簡化，網(wǎng)絡(luò)建設(shè)、運(yùn)維管理成本大幅降低，使信息維護(hù)人員有更多的時(shí)間關(guān)注業(yè)務(wù)系統(tǒng)的建設(shè)。3) 給網(wǎng)絡(luò)綁上安全帶。突破傳統(tǒng)園區(qū)網(wǎng)無法做安全防護(hù)的限制，對園區(qū)網(wǎng)的辦公網(wǎng)、生產(chǎn)網(wǎng)內(nèi)流量進(jìn)行安全防護(hù)，真正為用戶提供一張安全的網(wǎng)絡(luò)。4) 安全合規(guī)。本方案的安全設(shè)計(jì)完全符合等保關(guān)于結(jié)構(gòu)安全、訪問控制、安全審計(jì)、邊界完整性檢查、入侵防范與惡意代碼防范等方面的要求，充分滿足等級保護(hù)中網(wǎng)絡(luò)安全部分建設(shè)標(biāo)準(zhǔn)。5) 網(wǎng)安融合。方案通過L2~7的融合技術(shù)，真正實(shí)現(xiàn)了網(wǎng)絡(luò)、安全、應(yīng)用交付的一體化。6)