【正文】 也不盡相同，但普遍存在以下問題：支持的功能少。大部分廠商在堆疊技術實現時采用了全新的系統(tǒng)架構，導致在其它設備上很普通很成熟的技術，在堆疊設備上都必須進行單獨的支持，而多年的技術積累很難在短時間內重新實現，因此只能保證堆疊設備首先支持基本功能，而大量的增值服務可能缺失。功能支持與其它產品有差異。由于基本架構的不同，很多功能在堆疊產品上的實現不同于任何已有產品，用戶在使用堆疊產品前必須熟悉這些差異。而在與其它產品混合組網時，更需要了解各產品的不同，給用戶的管理和維護帶來了很大的不便，增加了維護成本。技術不成熟造成運行不穩(wěn)定。這里說的技術不成熟不是指技術本身，而是技術應用在堆疊環(huán)境不成熟。例如堆疊的一個特點是每個成員都有獨立的控制能力，如何協(xié)調各成員的控制就是一個問題。再比如堆疊成員的地位相互平等，每個成員又都有與其他成員交互的能力，那么隨著成員個數的增加，成員間的交互將成幾何級數增加，這就是通常所說的N平方問題，堆疊必須要很好的考慮解決這個問題?？傊@些系統(tǒng)相關的問題對各種特性來說都需要新的技術加以解決。而這些全新技術的不成熟，會直接影響產品的性能以至運行的可靠。 網絡虛擬化技術優(yōu)點從方案的角度設計，2臺核心交換機以10G鏈路互聯，采用智能彈型虛擬交換機技術，形成分布式交換架構，從管理配置和組網角度服務基礎上，成為一臺虛擬交換設備。同時，能夠進一步融合網絡安全、網絡業(yè)務分析等智能特性，為新校區(qū)構建融合業(yè)務。2臺核心交換機進行虛擬后邏輯圖如下：智能彈型堆疊具有以下主要優(yōu)點：簡化管理。智能彈型堆疊形成之后，用戶連接到任何一臺成員設備的任何一個端口可以登錄智能彈型堆疊系統(tǒng)，這相當于直接登錄智能彈型系統(tǒng)中的Master設備，通過對Master設備的配置達到管理整個智能彈型堆疊以及堆疊內所有成員設備的效果，而不用物理連接到每臺成員設備上分別對它們進行配置和管理。簡化網絡運行。智能彈型形成的虛擬設備中運行的各種控制協(xié)議也是作為單一設備統(tǒng)一運行的，例如路由協(xié)議會作為單一設備統(tǒng)一計算。這樣省去了設備間大量協(xié)議報文的交互，簡化了網絡運行，縮短了網絡動蕩時的收斂時間。智能彈型技術的這一特性是常見的集群技術所不具備的，后者僅僅能完成設備管理上的統(tǒng)一，而集群中的設備在網絡中仍然分別作為獨立節(jié)點運行。低成本：智能彈型技術是將一些較低端的設備虛擬成為一個相對高端的設備使用，從而具有高端設備的端口密度和帶寬，以及低端設備的成本。比直接使用高端設備具有成本優(yōu)勢。強大的網絡擴展能力。通過增加成員設備，可以輕松自如的擴展堆疊系統(tǒng)的端口數、帶寬和處理能力。保護用戶投資。由于具有強大的擴展能力，當用戶進行網絡升級時，不需要替換掉原有設備，只需要增加新設備既可。很好的保護了用戶投資。高可靠性。堆疊的高可靠性體現在多個方面，比如：成員設備之間堆疊物理端口支持聚合功能，堆疊系統(tǒng)和上、下層設備之間的物理連接也支持聚合功能，這樣通過多鏈路備份提高了堆疊系統(tǒng)的可靠性；堆疊系統(tǒng)由多臺成員設備組成，Master設備負責堆疊的運行、管理和維護，Slave設備在作為備份的同時也可以處理業(yè)務，一旦Master設備故障，系統(tǒng)會迅速自動選舉新的Master，以保證通過堆疊的業(yè)務不中斷，從而實現了設備級的1:N備份。智能彈型是網絡可靠性保障的最優(yōu)解決方案。高性能。由于智能彈型設備是由多個支持智能彈型特性的單機設備堆疊而成的，智能彈型設備的交換容量和端口數量就是智能彈型內部所有單機設備交換容量和端口數量的總和。因此，智能彈型技術能夠通過多個單機設備的堆疊，輕易的將設備的核心交換能力、用戶端口的密度擴大數倍，從而大幅度提高了設備的性能。豐富的功能。智能彈型支持包括IPvIPvMPLS、安全特性、OAA插卡、高可用性等全部交換機特性，并且能夠高效穩(wěn)定地運行這些功能，大大擴展了智能彈型設備的應用范圍。廣泛的產品支持。智能彈型技術作為一種通用的虛擬技術，對不同形態(tài)產品的堆疊一體化的實現，使用同一技術，同時支持盒式設備的堆疊，以及框式分布式設備的堆疊。毫秒級故障恢復。通過跨設備鏈路聚合技術，將多條物理鏈路聚合成一條邏輯鏈路，鏈路之間故障切換不需要MSTP、VRRP復雜的計算和收斂，最高可以達到50毫秒的故障自動恢復。 本次方案組網，在省廳及地市局部署的雙核心交換機，都采用虛擬交換架構組網，利用上述虛擬化架構技術的各種優(yōu)點，整體提升網絡的可靠性、性能、擴展能力并實現簡化部署與管理。第五章 網絡安全設計保證網絡系統(tǒng)的安全運行是網絡設計的一個重要環(huán)節(jié)，網絡安全是保證系統(tǒng)安全運行的重要基礎，因此，在本方案中需要為網絡建立安全控制機制。為了保護網絡上數據的安全性，必須提供多種方式和層次的訪問控制、通過使用VLAN、包過濾、防火墻入及侵檢測等技術來保證網絡系統(tǒng)的安全性。5 安全與網絡融合解決方案在傳統(tǒng)的網絡安全部署時，往往是網絡與安全各自為戰(zhàn)，在網絡邊界或關鍵節(jié)點串接安全設備(如FW、IPS、LB等)。隨著網絡部署的安全設備的種類和數量也越來越多，這將導致網絡中心機房布線、空間、能耗、運維管理等成本越來越高。建議采用安全插卡方式可以很好的解決上述問題，安全插卡（FW、IPS、LB、SSL VPN等）可直接插在核心交換機的業(yè)務槽位，通過交換機背板互連實現流量轉發(fā)，共用交換機電源、風扇等基礎部件。達到簡化機房布線、節(jié)省機架空間、簡化管理的目的。安全融合網絡解決方案示意圖如下：貴州省公安視頻監(jiān)控網絡安全設計拓撲圖：依據貴州省公安視頻監(jiān)控承載網廣域網組網架構，結合整體業(yè)務流量的分布，建議在省廳、9個地市局及地市局下轄城域網節(jié)點都部署核心交換機防火墻業(yè)務插卡及入核心交換機侵防御業(yè)務插卡，以實現骨干網絡2－7層的深度安全防御。融合部署優(yōu)點u 智能引流：安全插卡支持baypass引流技術，針對網絡中的數據、語音、監(jiān)控、視頻等不同報文流量可進行區(qū)分引流，從而減少數據量過大對安全設備、核心交換設備的負荷。如本次組網中，可針對監(jiān)控視頻流量進行引流，不對其進行安全報文檢測，以實現高速監(jiān)控視頻數據的交換。u 互連帶寬高。安全插卡采用背板總線與交換機進行互連，背板總線帶寬一般可超過40Gbps，相比傳統(tǒng)的獨立安全設備采用普通千兆以太網接口進行互連，在互連帶寬上有了很大的提升，而且無需增加布線、光纖和光模塊成本。u 減少單點故障。安全插卡采用背板與交換機互連，所以互連線路可靠性高，不會存在互連線路故障點。此外，交換機的背板具備健康檢測機制，在透明模式部署的安全插卡（如IPS、ACG）上可根據業(yè)務要求配置“二層回退”功能，當檢測到SecBlade插卡出現故障時，交換機可直接對原來經過SecBlade安全插卡的流量進行旁路，使業(yè)務流不中斷，避免設備級的單點故障。u 業(yè)務接口靈活。安全插卡上不對外提供業(yè)務接口（僅提供配置管理接口），當交換機上插有安全插卡時，交換機上原有的所有業(yè)務接口均可配置為安全業(yè)務接口。此時再也無需擔心安全業(yè)務接口不夠而帶來網絡安全部署的局限性。u 性能平滑擴展。當一臺交換機上的一塊安全插卡的性能不夠時，可以再插入一塊或多塊插卡實現性能的平滑疊加。而且所有插卡均支持熱插拔，在進行擴展時無需停機中斷現有的業(yè)務。 部署插卡式防火墻，提供網絡層安全為了保證網絡的安全性，我們建議在省廳核心交換機、地市局核心交換機及地市城域網交換機節(jié)點配置部署高性能防火墻安全插卡，能提供外部攻擊防范、內網安全、流量監(jiān)控、等功能，有效的保證網絡的安全。 通過部署防火墻系統(tǒng)可實現以下安全防護功能：1. 全面的安全防護支持對DoS/DDoS攻擊、ARP欺騙攻擊、TCP報文標志位不合法攻擊、超大ICMP報文攻擊、地址/端口掃描、ICMP重定向或不可達攻擊、Tracert攻擊、帶路由記錄選項IP報文、Java/ActiveX Blocking和SQL注入攻擊等威脅的防范；支持靜態(tài)和動態(tài)黑名單、MAC綁定、安全區(qū)域控制、系統(tǒng)統(tǒng)計等安全功能。2. 豐富的VPN特性集成IPSec、L2TP、GRE等多種成熟VPN接入技術，保證移動用戶、合作伙伴和分支機構安全、便捷的遠程接入。3. 先進的虛擬防火墻支持先進的虛擬防火墻技術，通過在同一臺物理設備上劃分多個邏輯的防火墻實例來實現對用戶多個業(yè)務獨立安全策略部署的需求。當用戶業(yè)務劃分發(fā)生變化或者產生新的業(yè)務部門時，可以通過添加或者減少防火墻實例的方式十分靈活的解決后續(xù)網絡擴展問題，簡化了網絡管理的復雜度。 部署插卡式入侵防御系統(tǒng)，提供應用層安全今天，各種蠕蟲、間諜軟件、網絡釣魚等應用層威脅和EMAIL、移動代碼結合，形成復合型威脅，使威脅更加危險和難以抵御。這些威脅直接攻擊IDC核心服務器和應用，給業(yè)務帶來了重大損失；攻擊終端用戶計算機，給用戶帶來信息風險甚至財產損失；對網絡基礎設施進行DoS/DDoS攻擊，造成基礎設施的癱瘓；更有甚者，像電驢、BT等P2P應用和MSN、等即時通信軟件的普及，寶貴的帶寬資源被業(yè)務無關流量浪費，形成巨大的資源損失。面對這些問題，傳統(tǒng)解決方案最大的問題是，防火墻工作在TCP/IP 3～4層上，根本就”看”不到這些威脅的存在，而IDS作為一個旁路設備，對這些威脅又”看而不阻”，因此我們需要一個全新的安全解決方案。因此在關鍵路徑上部署獨立的具有深度檢測防御的IPS（入侵防御系統(tǒng)）就顯得非常重要。深度檢測防御是為了檢測計算機網絡中違反安全策略行為。一般認為違反安全策略的行為有：216。 入侵——非法用戶的違規(guī)行為；216。 濫用——用戶的違規(guī)行為；深度檢測防御識別出任何不希望有的活動，從而限制這些活動，以保護系統(tǒng)的安全。深度檢測防御的應用目的是在入侵攻擊對系統(tǒng)發(fā)生危害前，檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。通省廳核心交換機、地市局核心交換機及地市城域網交換機節(jié)點配置部署交換機入侵防御插卡（Secblade IPS），為整網部分提供以下安全防護：216。 強大的入侵抵御能力推薦入侵防御系統(tǒng)（IPS）集成漏洞庫、專業(yè)病毒庫、應用協(xié)議庫。配合專有引擎技術，精確識別并實時防范各種網絡攻擊和濫用行為。216。 專業(yè)的病毒查殺通過集成專業(yè)防病毒引擎和病毒庫。采用第二代啟發(fā)式代碼分析、iChecker實時監(jiān)控和獨特的腳本病毒攔截等多種最尖端的反病毒技術，能實時查殺各種文件型、網絡型和混合型病毒；并采用新一代虛擬脫殼和行為判斷技術，準確查殺各種變種病毒、未知病毒。216。 零時差的應用保護設備廠商需提供專業(yè)安全團隊密切跟蹤全球知名安全組織和廠商發(fā)布的安全漏洞公告，通過準確的分析，快速生成保護操作系統(tǒng)、應用系統(tǒng)以及數據庫漏洞的特征庫；同時，通過部署于全球的蜜罐系統(tǒng)，實時掌握最新的攻擊技術和趨勢，以定期（每周）和緊急（當重大安全漏洞被發(fā)現）兩種方式發(fā)布，并自動或手動地分發(fā)到IPS設備中，使用戶的IPS快速具備防御零時差攻擊的能力。216。 網絡基礎設施保護入侵防御系統(tǒng)（IPS）具有強大的攻擊防護和流量模型自學習能力，當攻擊發(fā)生、或者短時間內大規(guī)模爆發(fā)的病毒導致網絡流量激增時，能自動發(fā)現并阻斷攻擊和異常流量，以保護路由器、交換機、VoIP系統(tǒng)、DNS服務器等網絡基礎設施免遭各種惡意攻擊，保證關鍵業(yè)務的通暢。 基層網絡安全端口＋IP＋MAC地址的綁定用戶上網的安全性非常重要，接入層設備均可以做到，端口+IP+MAC地址的綁定關系。MAC地址的綁定可以直接實現用戶對于邊緣用戶的管理，提高整個網絡的安全性、可維護性。如：每個用戶分配一個端口，并與該用戶主機的MAC、IP、VLAN等進行綁定， 客戶端認證通過以后用戶便可以實現MAC地址＋端口＋IP＋用戶ID的綁定，這種方式具有很強的安全特性：，防止用戶的MAC地址的欺騙，對于更改MAC地址的用戶（MAC地址欺騙的用戶）可以實現強制下線。MAC地址盜用的防止在網絡的應用當中IP地址的盜用是最為經常的一種非法手段，用戶在認證通過以后將自己的MAC地址進行修改，然后在進行一些非法操作，網絡設計當中我們針對該問題，在接入層交換機上提供防止MAC地址盜用的功能，用戶在更改MAC地址后，接入層設備對于與綁定MAC地址不相符的用戶直接將下線，其下線功能是由接入層設備交換機來實現的。防止對DHCP服務器的攻擊使用DHCP Server動態(tài)分配IP地址會存在兩個問題：一是DHCP Server假冒，用戶將自己的計算機設置成DHCP Server后會與局方的DHCP Server沖突；二是用戶DHCP Smurf，用戶使用軟件變換自己的MAC地址，大量申請IP地址，很快將DHCP的地址池耗光。接入層設備交換機可以支持多種禁止私設DHCP Server的方法。Private VLAN解決這個問題的方法之一是在桌面交換機上啟用Private VLAN的功能。但在很多環(huán)境中這個功能的使用存在局限，或者不會為了私設DHCP服務器的緣故去改造網絡。訪問控制列表對于有三層功能的交換機，可以用訪問列表來實現。就是定義一個訪問列表，該訪問列表禁止source port為67而destiion port為68的UDP報文通過。之后把這個訪問列表應用到各個物理端口上。當然往端口一個個去添加訪問控制組比較麻煩，可以結合interface range命令來減少命令的輸入量。防止ARP的攻擊隨著網絡規(guī)模的擴大和用戶數目的增多，網絡安全和管理越發(fā)顯出它的重要性。由于網絡用戶具有很強的專業(yè)背景，致使網絡黑客攻擊頻繁發(fā)生，地址盜用和用戶名仿冒等問題屢見不鮮。因此，ARP攻擊、地址仿冒、MAC地址攻擊、DHCP攻擊等問題不僅令網絡中心的老師頭痛不已，也對網絡的接入安全提出了新的挑戰(zhàn)。在DHCP的網絡環(huán)境中，使能DHCP Snooping功能，設計中選用的接入層交換機會記錄用戶的IP和MAC信息，形成IP+MAC+Port+VLAN的綁定記錄。設計中選用的接入層交換機利用該綁定信息，可以判斷用戶發(fā)出的ARP報文是否合法。使能對指定VLAN內所有端口的ARP檢測功能，即對該VLAN內端口收到的ARP報文的源IP或源MAC進行檢測，只有符合綁定表項的ARP報文才允許轉發(fā)；如果端口接收的ARP報文的源IP或源MAC不