【正文】 也不盡相同，但普遍存在以下問題：支持的功能少。大部分廠商在堆疊技術(shù)實(shí)現(xiàn)時(shí)采用了全新的系統(tǒng)架構(gòu)，導(dǎo)致在其它設(shè)備上很普通很成熟的技術(shù)，在堆疊設(shè)備上都必須進(jìn)行單獨(dú)的支持，而多年的技術(shù)積累很難在短時(shí)間內(nèi)重新實(shí)現(xiàn)，因此只能保證堆疊設(shè)備首先支持基本功能，而大量的增值服務(wù)可能缺失。功能支持與其它產(chǎn)品有差異。由于基本架構(gòu)的不同，很多功能在堆疊產(chǎn)品上的實(shí)現(xiàn)不同于任何已有產(chǎn)品，用戶在使用堆疊產(chǎn)品前必須熟悉這些差異。而在與其它產(chǎn)品混合組網(wǎng)時(shí)，更需要了解各產(chǎn)品的不同，給用戶的管理和維護(hù)帶來了很大的不便，增加了維護(hù)成本。技術(shù)不成熟造成運(yùn)行不穩(wěn)定。這里說的技術(shù)不成熟不是指技術(shù)本身，而是技術(shù)應(yīng)用在堆疊環(huán)境不成熟。例如堆疊的一個(gè)特點(diǎn)是每個(gè)成員都有獨(dú)立的控制能力，如何協(xié)調(diào)各成員的控制就是一個(gè)問題。再比如堆疊成員的地位相互平等，每個(gè)成員又都有與其他成員交互的能力，那么隨著成員個(gè)數(shù)的增加，成員間的交互將成幾何級(jí)數(shù)增加，這就是通常所說的N平方問題，堆疊必須要很好的考慮解決這個(gè)問題?？傊@些系統(tǒng)相關(guān)的問題對(duì)各種特性來說都需要新的技術(shù)加以解決。而這些全新技術(shù)的不成熟，會(huì)直接影響產(chǎn)品的性能以至運(yùn)行的可靠。 網(wǎng)絡(luò)虛擬化技術(shù)優(yōu)點(diǎn)從方案的角度設(shè)計(jì)，2臺(tái)核心交換機(jī)以10G鏈路互聯(lián)，采用智能彈型虛擬交換機(jī)技術(shù)，形成分布式交換架構(gòu)，從管理配置和組網(wǎng)角度服務(wù)基礎(chǔ)上，成為一臺(tái)虛擬交換設(shè)備。同時(shí)，能夠進(jìn)一步融合網(wǎng)絡(luò)安全、網(wǎng)絡(luò)業(yè)務(wù)分析等智能特性，為新校區(qū)構(gòu)建融合業(yè)務(wù)。2臺(tái)核心交換機(jī)進(jìn)行虛擬后邏輯圖如下：智能彈型堆疊具有以下主要優(yōu)點(diǎn)：簡(jiǎn)化管理。智能彈型堆疊形成之后，用戶連接到任何一臺(tái)成員設(shè)備的任何一個(gè)端口可以登錄智能彈型堆疊系統(tǒng)，這相當(dāng)于直接登錄智能彈型系統(tǒng)中的Master設(shè)備，通過對(duì)Master設(shè)備的配置達(dá)到管理整個(gè)智能彈型堆疊以及堆疊內(nèi)所有成員設(shè)備的效果，而不用物理連接到每臺(tái)成員設(shè)備上分別對(duì)它們進(jìn)行配置和管理。簡(jiǎn)化網(wǎng)絡(luò)運(yùn)行。智能彈型形成的虛擬設(shè)備中運(yùn)行的各種控制協(xié)議也是作為單一設(shè)備統(tǒng)一運(yùn)行的，例如路由協(xié)議會(huì)作為單一設(shè)備統(tǒng)一計(jì)算。這樣省去了設(shè)備間大量協(xié)議報(bào)文的交互，簡(jiǎn)化了網(wǎng)絡(luò)運(yùn)行，縮短了網(wǎng)絡(luò)動(dòng)蕩時(shí)的收斂時(shí)間。智能彈型技術(shù)的這一特性是常見的集群技術(shù)所不具備的，后者僅僅能完成設(shè)備管理上的統(tǒng)一，而集群中的設(shè)備在網(wǎng)絡(luò)中仍然分別作為獨(dú)立節(jié)點(diǎn)運(yùn)行。低成本：智能彈型技術(shù)是將一些較低端的設(shè)備虛擬成為一個(gè)相對(duì)高端的設(shè)備使用，從而具有高端設(shè)備的端口密度和帶寬，以及低端設(shè)備的成本。比直接使用高端設(shè)備具有成本優(yōu)勢(shì)。強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力。通過增加成員設(shè)備，可以輕松自如的擴(kuò)展堆疊系統(tǒng)的端口數(shù)、帶寬和處理能力。保護(hù)用戶投資。由于具有強(qiáng)大的擴(kuò)展能力，當(dāng)用戶進(jìn)行網(wǎng)絡(luò)升級(jí)時(shí)，不需要替換掉原有設(shè)備，只需要增加新設(shè)備既可。很好的保護(hù)了用戶投資。高可靠性。堆疊的高可靠性體現(xiàn)在多個(gè)方面，比如：成員設(shè)備之間堆疊物理端口支持聚合功能，堆疊系統(tǒng)和上、下層設(shè)備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了堆疊系統(tǒng)的可靠性；堆疊系統(tǒng)由多臺(tái)成員設(shè)備組成，Master設(shè)備負(fù)責(zé)堆疊的運(yùn)行、管理和維護(hù)，Slave設(shè)備在作為備份的同時(shí)也可以處理業(yè)務(wù)，一旦Master設(shè)備故障，系統(tǒng)會(huì)迅速自動(dòng)選舉新的Master，以保證通過堆疊的業(yè)務(wù)不中斷，從而實(shí)現(xiàn)了設(shè)備級(jí)的1:N備份。智能彈型是網(wǎng)絡(luò)可靠性保障的最優(yōu)解決方案。高性能。由于智能彈型設(shè)備是由多個(gè)支持智能彈型特性的單機(jī)設(shè)備堆疊而成的，智能彈型設(shè)備的交換容量和端口數(shù)量就是智能彈型內(nèi)部所有單機(jī)設(shè)備交換容量和端口數(shù)量的總和。因此，智能彈型技術(shù)能夠通過多個(gè)單機(jī)設(shè)備的堆疊，輕易的將設(shè)備的核心交換能力、用戶端口的密度擴(kuò)大數(shù)倍，從而大幅度提高了設(shè)備的性能。豐富的功能。智能彈型支持包括IPvIPvMPLS、安全特性、OAA插卡、高可用性等全部交換機(jī)特性，并且能夠高效穩(wěn)定地運(yùn)行這些功能，大大擴(kuò)展了智能彈型設(shè)備的應(yīng)用范圍。廣泛的產(chǎn)品支持。智能彈型技術(shù)作為一種通用的虛擬技術(shù)，對(duì)不同形態(tài)產(chǎn)品的堆疊一體化的實(shí)現(xiàn)，使用同一技術(shù)，同時(shí)支持盒式設(shè)備的堆疊，以及框式分布式設(shè)備的堆疊。毫秒級(jí)故障恢復(fù)。通過跨設(shè)備鏈路聚合技術(shù)，將多條物理鏈路聚合成一條邏輯鏈路，鏈路之間故障切換不需要MSTP、VRRP復(fù)雜的計(jì)算和收斂，最高可以達(dá)到50毫秒的故障自動(dòng)恢復(fù)。 本次方案組網(wǎng)，在省廳及地市局部署的雙核心交換機(jī)，都采用虛擬交換架構(gòu)組網(wǎng)，利用上述虛擬化架構(gòu)技術(shù)的各種優(yōu)點(diǎn)，整體提升網(wǎng)絡(luò)的可靠性、性能、擴(kuò)展能力并實(shí)現(xiàn)簡(jiǎn)化部署與管理。第五章 網(wǎng)絡(luò)安全設(shè)計(jì)保證網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行是網(wǎng)絡(luò)設(shè)計(jì)的一個(gè)重要環(huán)節(jié)，網(wǎng)絡(luò)安全是保證系統(tǒng)安全運(yùn)行的重要基礎(chǔ)，因此，在本方案中需要為網(wǎng)絡(luò)建立安全控制機(jī)制。為了保護(hù)網(wǎng)絡(luò)上數(shù)據(jù)的安全性，必須提供多種方式和層次的訪問控制、通過使用VLAN、包過濾、防火墻入及侵檢測(cè)等技術(shù)來保證網(wǎng)絡(luò)系統(tǒng)的安全性。5 安全與網(wǎng)絡(luò)融合解決方案在傳統(tǒng)的網(wǎng)絡(luò)安全部署時(shí)，往往是網(wǎng)絡(luò)與安全各自為戰(zhàn)，在網(wǎng)絡(luò)邊界或關(guān)鍵節(jié)點(diǎn)串接安全設(shè)備(如FW、IPS、LB等)。隨著網(wǎng)絡(luò)部署的安全設(shè)備的種類和數(shù)量也越來越多，這將導(dǎo)致網(wǎng)絡(luò)中心機(jī)房布線、空間、能耗、運(yùn)維管理等成本越來越高。建議采用安全插卡方式可以很好的解決上述問題，安全插卡（FW、IPS、LB、SSL VPN等）可直接插在核心交換機(jī)的業(yè)務(wù)槽位，通過交換機(jī)背板互連實(shí)現(xiàn)流量轉(zhuǎn)發(fā)，共用交換機(jī)電源、風(fēng)扇等基礎(chǔ)部件。達(dá)到簡(jiǎn)化機(jī)房布線、節(jié)省機(jī)架空間、簡(jiǎn)化管理的目的。安全融合網(wǎng)絡(luò)解決方案示意圖如下：貴州省公安視頻監(jiān)控網(wǎng)絡(luò)安全設(shè)計(jì)拓?fù)鋱D：依據(jù)貴州省公安視頻監(jiān)控承載網(wǎng)廣域網(wǎng)組網(wǎng)架構(gòu)，結(jié)合整體業(yè)務(wù)流量的分布，建議在省廳、9個(gè)地市局及地市局下轄城域網(wǎng)節(jié)點(diǎn)都部署核心交換機(jī)防火墻業(yè)務(wù)插卡及入核心交換機(jī)侵防御業(yè)務(wù)插卡，以實(shí)現(xiàn)骨干網(wǎng)絡(luò)2－7層的深度安全防御。融合部署優(yōu)點(diǎn)u 智能引流：安全插卡支持baypass引流技術(shù)，針對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)、語音、監(jiān)控、視頻等不同報(bào)文流量可進(jìn)行區(qū)分引流，從而減少數(shù)據(jù)量過大對(duì)安全設(shè)備、核心交換設(shè)備的負(fù)荷。如本次組網(wǎng)中，可針對(duì)監(jiān)控視頻流量進(jìn)行引流，不對(duì)其進(jìn)行安全報(bào)文檢測(cè)，以實(shí)現(xiàn)高速監(jiān)控視頻數(shù)據(jù)的交換。u 互連帶寬高。安全插卡采用背板總線與交換機(jī)進(jìn)行互連，背板總線帶寬一般可超過40Gbps，相比傳統(tǒng)的獨(dú)立安全設(shè)備采用普通千兆以太網(wǎng)接口進(jìn)行互連，在互連帶寬上有了很大的提升，而且無需增加布線、光纖和光模塊成本。u 減少單點(diǎn)故障。安全插卡采用背板與交換機(jī)互連，所以互連線路可靠性高，不會(huì)存在互連線路故障點(diǎn)。此外，交換機(jī)的背板具備健康檢測(cè)機(jī)制，在透明模式部署的安全插卡（如IPS、ACG）上可根據(jù)業(yè)務(wù)要求配置“二層回退”功能，當(dāng)檢測(cè)到SecBlade插卡出現(xiàn)故障時(shí)，交換機(jī)可直接對(duì)原來經(jīng)過SecBlade安全插卡的流量進(jìn)行旁路，使業(yè)務(wù)流不中斷，避免設(shè)備級(jí)的單點(diǎn)故障。u 業(yè)務(wù)接口靈活。安全插卡上不對(duì)外提供業(yè)務(wù)接口（僅提供配置管理接口），當(dāng)交換機(jī)上插有安全插卡時(shí)，交換機(jī)上原有的所有業(yè)務(wù)接口均可配置為安全業(yè)務(wù)接口。此時(shí)再也無需擔(dān)心安全業(yè)務(wù)接口不夠而帶來網(wǎng)絡(luò)安全部署的局限性。u 性能平滑擴(kuò)展。當(dāng)一臺(tái)交換機(jī)上的一塊安全插卡的性能不夠時(shí)，可以再插入一塊或多塊插卡實(shí)現(xiàn)性能的平滑疊加。而且所有插卡均支持熱插拔，在進(jìn)行擴(kuò)展時(shí)無需停機(jī)中斷現(xiàn)有的業(yè)務(wù)。 部署插卡式防火墻，提供網(wǎng)絡(luò)層安全為了保證網(wǎng)絡(luò)的安全性，我們建議在省廳核心交換機(jī)、地市局核心交換機(jī)及地市城域網(wǎng)交換機(jī)節(jié)點(diǎn)配置部署高性能防火墻安全插卡，能提供外部攻擊防范、內(nèi)網(wǎng)安全、流量監(jiān)控、等功能，有效的保證網(wǎng)絡(luò)的安全。 通過部署防火墻系統(tǒng)可實(shí)現(xiàn)以下安全防護(hù)功能：1. 全面的安全防護(hù)支持對(duì)DoS/DDoS攻擊、ARP欺騙攻擊、TCP報(bào)文標(biāo)志位不合法攻擊、超大ICMP報(bào)文攻擊、地址/端口掃描、ICMP重定向或不可達(dá)攻擊、Tracert攻擊、帶路由記錄選項(xiàng)IP報(bào)文、Java/ActiveX Blocking和SQL注入攻擊等威脅的防范；支持靜態(tài)和動(dòng)態(tài)黑名單、MAC綁定、安全區(qū)域控制、系統(tǒng)統(tǒng)計(jì)等安全功能。2. 豐富的VPN特性集成IPSec、L2TP、GRE等多種成熟VPN接入技術(shù)，保證移動(dòng)用戶、合作伙伴和分支機(jī)構(gòu)安全、便捷的遠(yuǎn)程接入。3. 先進(jìn)的虛擬防火墻支持先進(jìn)的虛擬防火墻技術(shù)，通過在同一臺(tái)物理設(shè)備上劃分多個(gè)邏輯的防火墻實(shí)例來實(shí)現(xiàn)對(duì)用戶多個(gè)業(yè)務(wù)獨(dú)立安全策略部署的需求。當(dāng)用戶業(yè)務(wù)劃分發(fā)生變化或者產(chǎn)生新的業(yè)務(wù)部門時(shí)，可以通過添加或者減少防火墻實(shí)例的方式十分靈活的解決后續(xù)網(wǎng)絡(luò)擴(kuò)展問題，簡(jiǎn)化了網(wǎng)絡(luò)管理的復(fù)雜度。 部署插卡式入侵防御系統(tǒng)，提供應(yīng)用層安全今天，各種蠕蟲、間諜軟件、網(wǎng)絡(luò)釣魚等應(yīng)用層威脅和EMAIL、移動(dòng)代碼結(jié)合，形成復(fù)合型威脅，使威脅更加危險(xiǎn)和難以抵御。這些威脅直接攻擊IDC核心服務(wù)器和應(yīng)用，給業(yè)務(wù)帶來了重大損失；攻擊終端用戶計(jì)算機(jī)，給用戶帶來信息風(fēng)險(xiǎn)甚至財(cái)產(chǎn)損失；對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行DoS/DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；更有甚者，像電驢、BT等P2P應(yīng)用和MSN、等即時(shí)通信軟件的普及，寶貴的帶寬資源被業(yè)務(wù)無關(guān)流量浪費(fèi)，形成巨大的資源損失。面對(duì)這些問題，傳統(tǒng)解決方案最大的問題是，防火墻工作在TCP/IP 3～4層上，根本就”看”不到這些威脅的存在，而IDS作為一個(gè)旁路設(shè)備，對(duì)這些威脅又”看而不阻”，因此我們需要一個(gè)全新的安全解決方案。因此在關(guān)鍵路徑上部署獨(dú)立的具有深度檢測(cè)防御的IPS（入侵防御系統(tǒng)）就顯得非常重要。深度檢測(cè)防御是為了檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為。一般認(rèn)為違反安全策略的行為有：216。 入侵——非法用戶的違規(guī)行為；216。 濫用——用戶的違規(guī)行為；深度檢測(cè)防御識(shí)別出任何不希望有的活動(dòng)，從而限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。深度檢測(cè)防御的應(yīng)用目的是在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。通省廳核心交換機(jī)、地市局核心交換機(jī)及地市城域網(wǎng)交換機(jī)節(jié)點(diǎn)配置部署交換機(jī)入侵防御插卡（Secblade IPS），為整網(wǎng)部分提供以下安全防護(hù)：216。 強(qiáng)大的入侵抵御能力推薦入侵防御系統(tǒng)（IPS）集成漏洞庫(kù)、專業(yè)病毒庫(kù)、應(yīng)用協(xié)議庫(kù)。配合專有引擎技術(shù)，精確識(shí)別并實(shí)時(shí)防范各種網(wǎng)絡(luò)攻擊和濫用行為。216。 專業(yè)的病毒查殺通過集成專業(yè)防病毒引擎和病毒庫(kù)。采用第二代啟發(fā)式代碼分析、iChecker實(shí)時(shí)監(jiān)控和獨(dú)特的腳本病毒攔截等多種最尖端的反病毒技術(shù)，能實(shí)時(shí)查殺各種文件型、網(wǎng)絡(luò)型和混合型病毒；并采用新一代虛擬脫殼和行為判斷技術(shù)，準(zhǔn)確查殺各種變種病毒、未知病毒。216。 零時(shí)差的應(yīng)用保護(hù)設(shè)備廠商需提供專業(yè)安全團(tuán)隊(duì)密切跟蹤全球知名安全組織和廠商發(fā)布的安全漏洞公告，通過準(zhǔn)確的分析，快速生成保護(hù)操作系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)庫(kù)漏洞的特征庫(kù)；同時(shí)，通過部署于全球的蜜罐系統(tǒng)，實(shí)時(shí)掌握最新的攻擊技術(shù)和趨勢(shì)，以定期（每周）和緊急（當(dāng)重大安全漏洞被發(fā)現(xiàn)）兩種方式發(fā)布，并自動(dòng)或手動(dòng)地分發(fā)到IPS設(shè)備中，使用戶的IPS快速具備防御零時(shí)差攻擊的能力。216。 網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)入侵防御系統(tǒng)（IPS）具有強(qiáng)大的攻擊防護(hù)和流量模型自學(xué)習(xí)能力，當(dāng)攻擊發(fā)生、或者短時(shí)間內(nèi)大規(guī)模爆發(fā)的病毒導(dǎo)致網(wǎng)絡(luò)流量激增時(shí)，能自動(dòng)發(fā)現(xiàn)并阻斷攻擊和異常流量，以保護(hù)路由器、交換機(jī)、VoIP系統(tǒng)、DNS服務(wù)器等網(wǎng)絡(luò)基礎(chǔ)設(shè)施免遭各種惡意攻擊，保證關(guān)鍵業(yè)務(wù)的通暢。 基層網(wǎng)絡(luò)安全端口＋I(xiàn)P＋MAC地址的綁定用戶上網(wǎng)的安全性非常重要，接入層設(shè)備均可以做到，端口+IP+MAC地址的綁定關(guān)系。MAC地址的綁定可以直接實(shí)現(xiàn)用戶對(duì)于邊緣用戶的管理，提高整個(gè)網(wǎng)絡(luò)的安全性、可維護(hù)性。如：每個(gè)用戶分配一個(gè)端口，并與該用戶主機(jī)的MAC、IP、VLAN等進(jìn)行綁定， 客戶端認(rèn)證通過以后用戶便可以實(shí)現(xiàn)MAC地址＋端口＋I(xiàn)P＋用戶ID的綁定，這種方式具有很強(qiáng)的安全特性：，防止用戶的MAC地址的欺騙，對(duì)于更改MAC地址的用戶（MAC地址欺騙的用戶）可以實(shí)現(xiàn)強(qiáng)制下線。MAC地址盜用的防止在網(wǎng)絡(luò)的應(yīng)用當(dāng)中IP地址的盜用是最為經(jīng)常的一種非法手段，用戶在認(rèn)證通過以后將自己的MAC地址進(jìn)行修改，然后在進(jìn)行一些非法操作，網(wǎng)絡(luò)設(shè)計(jì)當(dāng)中我們針對(duì)該問題，在接入層交換機(jī)上提供防止MAC地址盜用的功能，用戶在更改MAC地址后，接入層設(shè)備對(duì)于與綁定MAC地址不相符的用戶直接將下線，其下線功能是由接入層設(shè)備交換機(jī)來實(shí)現(xiàn)的。防止對(duì)DHCP服務(wù)器的攻擊使用DHCP Server動(dòng)態(tài)分配IP地址會(huì)存在兩個(gè)問題：一是DHCP Server假冒，用戶將自己的計(jì)算機(jī)設(shè)置成DHCP Server后會(huì)與局方的DHCP Server沖突；二是用戶DHCP Smurf，用戶使用軟件變換自己的MAC地址，大量申請(qǐng)IP地址，很快將DHCP的地址池耗光。接入層設(shè)備交換機(jī)可以支持多種禁止私設(shè)DHCP Server的方法。Private VLAN解決這個(gè)問題的方法之一是在桌面交換機(jī)上啟用Private VLAN的功能。但在很多環(huán)境中這個(gè)功能的使用存在局限，或者不會(huì)為了私設(shè)DHCP服務(wù)器的緣故去改造網(wǎng)絡(luò)。訪問控制列表對(duì)于有三層功能的交換機(jī)，可以用訪問列表來實(shí)現(xiàn)。就是定義一個(gè)訪問列表，該訪問列表禁止source port為67而destiion port為68的UDP報(bào)文通過。之后把這個(gè)訪問列表應(yīng)用到各個(gè)物理端口上。當(dāng)然往端口一個(gè)個(gè)去添加訪問控制組比較麻煩，可以結(jié)合interface range命令來減少命令的輸入量。防止ARP的攻擊隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和用戶數(shù)目的增多，網(wǎng)絡(luò)安全和管理越發(fā)顯出它的重要性。由于網(wǎng)絡(luò)用戶具有很強(qiáng)的專業(yè)背景，致使網(wǎng)絡(luò)黑客攻擊頻繁發(fā)生，地址盜用和用戶名仿冒等問題屢見不鮮。因此，ARP攻擊、地址仿冒、MAC地址攻擊、DHCP攻擊等問題不僅令網(wǎng)絡(luò)中心的老師頭痛不已，也對(duì)網(wǎng)絡(luò)的接入安全提出了新的挑戰(zhàn)。在DHCP的網(wǎng)絡(luò)環(huán)境中，使能DHCP Snooping功能，設(shè)計(jì)中選用的接入層交換機(jī)會(huì)記錄用戶的IP和MAC信息，形成IP+MAC+Port+VLAN的綁定記錄。設(shè)計(jì)中選用的接入層交換機(jī)利用該綁定信息，可以判斷用戶發(fā)出的ARP報(bào)文是否合法。使能對(duì)指定VLAN內(nèi)所有端口的ARP檢測(cè)功能，即對(duì)該VLAN內(nèi)端口收到的ARP報(bào)文的源IP或源MAC進(jìn)行檢測(cè)，只有符合綁定表項(xiàng)的ARP報(bào)文才允許轉(zhuǎn)發(fā)；如果端口接收的ARP報(bào)文的源IP或源MAC不