【正文】 離需求 產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 19 在園區(qū)網(wǎng)各個(gè)企業(yè)的數(shù)據(jù)業(yè)務(wù)是需要相互隔離的，而且不同企業(yè)對(duì)數(shù)據(jù)中心的服務(wù)級(jí)別也提出了差異化的要求，比如存儲(chǔ)空間的要求、安全級(jí)別的要求等。 導(dǎo)致網(wǎng)絡(luò)不可用，即網(wǎng)絡(luò)故障的原因主要有兩類： 1. 不可控因素，如自然災(zāi)害、戰(zhàn)爭、大停電、人為破壞等 通過建設(shè)生產(chǎn)中心、本地備份中心、異地容災(zāi)中心，即 “兩地三中心 ”模式，通過良好 的整體規(guī)劃設(shè)計(jì)，保證不可控因素影響下數(shù)據(jù)中心的高可用。 通過 RGSNCWLAN 組件中強(qiáng)大的四維監(jiān)視工具，可實(shí)時(shí)統(tǒng)計(jì)和監(jiān)視全網(wǎng)的設(shè)備工作狀態(tài)、資源利用、無線 設(shè)備告警、信道使用情況、實(shí)時(shí)流量等多維度狀態(tài)，全部以統(tǒng)計(jì)圖形直觀顯示給網(wǎng)管人員，特別便利于網(wǎng)管人員的日常管理工作。通過整體拓?fù)浔O(jiān)視、多視圖的監(jiān)視和分組管理，可將行業(yè)客戶的大規(guī)模部署無線網(wǎng)絡(luò)設(shè)備進(jìn)行集中化的控管。這兩次切換的過程無需人工手動(dòng)干預(yù)，完全是 AP 自動(dòng)完成的。 智能角色轉(zhuǎn)換 智能角色轉(zhuǎn)換體現(xiàn)在以下方面，我們 在部署智能無線網(wǎng)絡(luò)的時(shí)候通常會(huì)考慮到控制器的冗余，如果一臺(tái)控制器或者鏈路出現(xiàn)故障，另外的控制器能夠接管所有 AP 的工作，但是如果我們由于資金有限無法購買多臺(tái)控制器的情況下如何實(shí)現(xiàn)冗余呢？在這種情況下，銳捷網(wǎng)絡(luò)提出了 胖瘦智能轉(zhuǎn)換 的概念，也就是說如果當(dāng) AC 宕機(jī)后， AP 和 AC 之間失去心跳，那么 AP 目前的瘦模式會(huì)自動(dòng)切換為胖模式，繼續(xù)為企業(yè)的辦公 用戶提供永續(xù)不間斷的轉(zhuǎn)發(fā)業(yè)務(wù)。 AP 統(tǒng)一管理、用戶接入權(quán)限控制成為構(gòu)建園區(qū)無線網(wǎng)絡(luò)的首要問題 ，所以我們認(rèn)為園區(qū)網(wǎng)無線的部署應(yīng)該采用瘦 AP 的方式： 產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 17 ? 自動(dòng)查找 AC（無線控制器），無需配置即插即用； ? 自動(dòng) 識(shí)別周邊 AP，射頻、信道自動(dòng)配置； ? 可以進(jìn)行負(fù)載分擔(dān)、射頻管理等智能業(yè)務(wù)； ? 無線控制器對(duì)所有 FIT AP 和在線用戶進(jìn)行統(tǒng)計(jì)和管理。 日志管理層 設(shè)計(jì) 實(shí)名制上網(wǎng)日志記錄 基于用戶名（非 IP 地址）的 NAT 日志、 URL 日志、流量日志記錄 對(duì)用戶的價(jià)值 易管理，快捷定位用戶，提高管理效率 滿足公安部 82 號(hào)令要求 產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 16 無線網(wǎng)絡(luò)方案 園區(qū)網(wǎng)應(yīng)用場景 無線部署方式 對(duì)于園區(qū)網(wǎng)的無線部署我們采用哪種方式？ 無線接入點(diǎn) 可支持 Fat（胖）和 Fit（瘦）兩種工作模式。因此，邊界網(wǎng)中必須設(shè)置流量控制設(shè)備，對(duì)出口各種應(yīng)用進(jìn)行智能識(shí)別，實(shí)時(shí)監(jiān)控出口各應(yīng)用的帶寬占用情況，并以此制定動(dòng)態(tài)的帶寬分產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 15 配策略，實(shí)施動(dòng)態(tài)帶寬分配，控制 P2P 應(yīng)用對(duì)出口帶寬的過量占用，保障關(guān)鍵業(yè)務(wù)應(yīng)用的帶寬分配 。目前，出口應(yīng)用的帶寬被 P2P 大量占用，直接影響了辦公、教學(xué)、科研類應(yīng)用的帶寬保障。 應(yīng)用控制層設(shè)計(jì) 隨著 Inter 應(yīng)用的日益豐富， P2P 應(yīng)用的廣泛推廣，出口帶寬的瓶頸效應(yīng)越來越明顯。 防止網(wǎng)頁被篡改 —— 主動(dòng)防御，避免網(wǎng)頁防篡改軟件只能保護(hù)靜態(tài)頁面且只能亡羊補(bǔ)牢的尷尬 防止網(wǎng)頁被掛馬 —— 針 對(duì) 園區(qū)網(wǎng)站 、政府網(wǎng)站掛馬，傳播木馬盜號(hào)的黑客手段 （四 ）內(nèi)容過濾 支持 URL過濾，它能夠針對(duì) URL地址進(jìn)行靈活地分類，并應(yīng)用到各種策略上，實(shí)現(xiàn)基于用戶策略的URL 訪問過濾。并基于這些狀態(tài)信息進(jìn)行各種豐富的安全控制和更深粒度的報(bào)文過濾，包括：報(bào)頭檢查 、 IP 分片支持、特殊應(yīng)用協(xié)議支持等。針對(duì)出口網(wǎng)絡(luò)中所部署的安全防護(hù)，主要有以下四個(gè)方面： （一）報(bào)文過濾 通過訪問控制列表（ ACL）實(shí)現(xiàn)了靈活的各種粒度的報(bào)文過濾 ,包括：標(biāo)準(zhǔn) ACL 、擴(kuò)展 ACL。例如，通過智能 DNS解析功能，在電信網(wǎng)用戶訪問園區(qū)門戶網(wǎng)站域名時(shí)，自動(dòng)解析成電信網(wǎng)產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 14 IP，從而引導(dǎo)電信網(wǎng)絡(luò)用戶從園區(qū)的電信網(wǎng)鏈路訪問園區(qū)園區(qū)門戶服務(wù)，當(dāng)網(wǎng)通用戶訪問時(shí)，則解析成網(wǎng)通 IP，引導(dǎo)網(wǎng)通用戶從 XX 園區(qū)網(wǎng)的網(wǎng)通鏈路進(jìn)行訪問。在任意一條廣域網(wǎng)鏈路發(fā)生故障時(shí)，能夠自動(dòng)將流量自動(dòng)切換到其他廣域網(wǎng)鏈路。 （三）多鏈路負(fù)載與備份功能 XX園區(qū)網(wǎng)出口網(wǎng)絡(luò)平臺(tái)分別連接至 2條 100M電信鏈路和 1條 100M網(wǎng)通鏈路。 NAT并發(fā)連接數(shù)指標(biāo)要求 =用戶總數(shù) x用戶并發(fā)在線率 x每用戶會(huì)話數(shù) =2021x100=20萬 NAT每秒新建連接數(shù)指標(biāo)要求 =用戶總數(shù) x用戶并發(fā)在線率 x每用戶每秒新建連接數(shù) =2021x20=4萬 （二）智能路由選路 產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 13 園區(qū)網(wǎng)用戶在訪問屬于不同 ISP提供的信息資源時(shí)，外網(wǎng)連接層需要智能的根據(jù)用戶訪問的信息資源，選擇不同的 ISP（不同的廣域網(wǎng)鏈路）來進(jìn)行訪問。 外網(wǎng)連接層設(shè)計(jì) 外網(wǎng)連接層處于邊界網(wǎng)的最外端，是邊界網(wǎng)中的數(shù)據(jù)交換基礎(chǔ)平臺(tái)，此平臺(tái)主要由邊界網(wǎng)中的路由器來。 園區(qū)網(wǎng)出口解決方案 出口 技術(shù)需求 園區(qū)網(wǎng)出口主要功能 園區(qū)網(wǎng)出口主要需求 NAT １、處理 NAT 及數(shù)據(jù)轉(zhuǎn)發(fā)的技術(shù) ２、 NAT 能力：并發(fā)連接數(shù) /新建連接數(shù) 多千兆 /萬兆處理性能 出口負(fù)載均衡 多鏈路的負(fù)載均衡 基于智能 DNS 的負(fù)載均衡 安全防 護(hù) 出口的安全防護(hù)能力（尤其是防篡改、防掛馬） 安全設(shè)備性能 流量控制 應(yīng)用的識(shí)別能力、更新能力 ２、基于應(yīng)用和用戶的流量控制 ３、出口流量、用戶統(tǒng)計(jì)分析報(bào)表 日志審計(jì) １、如何方便定位到用戶，而不是 IP VPN 接入 １、 VPN 撥入的易用性 ２、 VPN 用戶并發(fā)數(shù)支持 ３、大量用戶的管理 產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 12 出口區(qū)設(shè)計(jì) 園區(qū)網(wǎng)絡(luò)出口平臺(tái)的主要功能框架如上圖所示，它主要負(fù)責(zé)承擔(dān)出口網(wǎng)絡(luò)的數(shù)據(jù)轉(zhuǎn)發(fā)、流量控制、安全防護(hù)、安全審計(jì)、遠(yuǎn)程 VPN接入等功能。通過線卡收集采集數(shù)據(jù)，由業(yè)務(wù)卡進(jìn)行初步分析，最后由上層服務(wù)器收集統(tǒng)計(jì)數(shù)據(jù)、顯示結(jié)果，真正實(shí)現(xiàn)了分布式的 流量監(jiān)控技術(shù)。另一方面，由于輸出格式具有可擴(kuò)展性，因此如果流量監(jiān)控的要求發(fā)生改變，網(wǎng)絡(luò)管理員們也不必升級(jí)他們的路由器軟件或管理工具。 IPFIX采用了“模板”的格式靈活的定義一個(gè)數(shù)據(jù)流。網(wǎng)絡(luò)中的數(shù)據(jù)流量有著各種各樣的屬性，只是簡單的采用特定的屬性去標(biāo)示數(shù)據(jù)流并不能全面完整的采集監(jiān)控流量。 傳統(tǒng)的數(shù)據(jù)流量監(jiān)控技術(shù)采用了特定的數(shù)據(jù)屬性去標(biāo)示一個(gè)數(shù)據(jù)流。 IPFIX是最新的流量監(jiān)控技術(shù)國際標(biāo)準(zhǔn)，在 IPFIX的 RFC3917被提議以后， IETF在做流輸出的標(biāo)準(zhǔn)化工作，這也是目前各大廠商大力推動(dòng)的一個(gè)標(biāo)準(zhǔn)。 產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 10 智能流量分析檢測 進(jìn)行流量監(jiān)控和流量分析是整個(gè)網(wǎng)絡(luò)合理化的重要環(huán)節(jié)，它能在最短的時(shí)間內(nèi)發(fā)現(xiàn)安全威脅，在第 一時(shí)間進(jìn)行分析，通過流量分析來確定攻擊，然后發(fā)出預(yù)警，快速采取措施。同時(shí)結(jié)合 IPFIX（ IP information Flow eXport）流量監(jiān)控技術(shù)基于端口進(jìn)行流量監(jiān)測，幫助網(wǎng)絡(luò)管理者快速鎖定異常不安全的數(shù)據(jù)源，在網(wǎng)絡(luò)管理平臺(tái)全網(wǎng)下發(fā) NFPP安全策略，及早的隔離非法數(shù)據(jù)源。 NFPP整體框架（見下圖）： 產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 9 流 傳 遞 保 護(hù) 框 架 防 攻 擊 驅(qū) 動(dòng) 模 塊防 攻 擊 硬 件 驅(qū) 動(dòng) 模 塊管 理( C L I等 )防 攻 擊 模 塊 2防 攻 擊 模 塊 nBCAO S服 務(wù)軟 件 平 臺(tái)硬 件 平 臺(tái)收 幀 驅(qū) 動(dòng) 模 塊防 攻 擊 模 塊 1DEFGA . 異 步 發(fā) 布 攻 擊 消 息 通 告 .B . 實(shí) 施 軟 件 保 護(hù) 策 略 .C . 實(shí) 施 硬 件 保 護(hù) 策 略 ( o p t i o n ) .D . 收 幀 驅(qū) 動(dòng) 回 調(diào) 流 傳 遞 保 護(hù) 模 塊 的 幀 處 理E . 調(diào) 用 驅(qū) 動(dòng) 設(shè) 置 硬 件 實(shí) 現(xiàn) 保 護(hù) .F . 配 置 與 回 顯G . 配 置 與 回 顯 NFPP整個(gè)框架可以分為軟件平臺(tái)和硬件平臺(tái)兩大部分，軟件平臺(tái)主要負(fù)責(zé)報(bào)文流的分類和策略的實(shí)施，硬件平臺(tái)主要對(duì) 非法用戶進(jìn)行硬件隔離，以達(dá)到保護(hù) cpu資源的目的。 基礎(chǔ)網(wǎng)絡(luò)之安全技術(shù) 在網(wǎng)絡(luò)安全層面尼姆達(dá)等網(wǎng)絡(luò)蠕蟲類病毒可以通過 ACL控制協(xié)議的端口可以解決，但是像 ARP攻擊、等DOS或 DDOS攻擊該如何解決這類難題？大量的報(bào)文流送向 CPU，占用了整個(gè)送 CPU的報(bào)文通路的帶寬，導(dǎo)致正常的控制流和管理流無法達(dá)到 CPU，從而帶來協(xié)議振蕩無法管理，進(jìn)而影響到數(shù)據(jù)面的轉(zhuǎn)發(fā)，如果是核心設(shè)備將導(dǎo)致整個(gè)網(wǎng)絡(luò)無法正常運(yùn)行。由于是二層技術(shù)，可以承載路由協(xié)議、 MPLS等技術(shù)。設(shè)置雙上行鏈路為 1主（正常轉(zhuǎn)發(fā)數(shù)據(jù)） 1備（阻塞，不轉(zhuǎn)產(chǎn)業(yè)園區(qū)網(wǎng)絡(luò)解決方案 8 發(fā)數(shù)據(jù)），當(dāng)主鏈路斷掉后，可實(shí)現(xiàn)小于 50ms的鏈路快速切換。 為了滿足各方面的需求，銳捷網(wǎng)絡(luò)提出了基于智能高可用 IP設(shè)計(jì)理念的 REUP的解決方案，實(shí)現(xiàn)了主備鏈路冗余備份及快速遷移，同時(shí)提供更簡潔的配置，既保證快速收斂需求，同時(shí)又簡化相應(yīng)配置。 二、 雙星型鏈路快速切換 目前雙鏈路上聯(lián)組網(wǎng)方式已經(jīng)成為一種很常見的組網(wǎng)方式，因此需要考慮如何保證鏈路的正常通信。此時(shí)匯聚到核心雙鏈路上聯(lián)，等同于雙鏈路連接到 1臺(tái)核心上，實(shí)現(xiàn)跨設(shè)備鏈路聚合。從而簡化了網(wǎng)絡(luò)拓?fù)洹? 銳捷 RGS8600系列萬兆核心交換機(jī)支持 GR for OSFP/BGP等路由協(xié)議，當(dāng)主引擎發(fā)生主備倒換時(shí)，對(duì)端設(shè)備的繼續(xù)保持與本設(shè)備的協(xié)議鄰居關(guān)系，避免網(wǎng)絡(luò)收斂 和振蕩，保證網(wǎng)絡(luò)的穩(wěn)定性。在整個(gè)協(xié)議重啟過程中，網(wǎng)絡(luò)路由和轉(zhuǎn)發(fā)保持高度穩(wěn)定，報(bào)文轉(zhuǎn)發(fā)路徑也沒有任何改變，整個(gè)系統(tǒng)可以不間斷地轉(zhuǎn)發(fā) IP報(bào)文。 GR機(jī)制的 核心在于：當(dāng)某設(shè)備的路由協(xié)議重啟時(shí)，能夠通知周邊設(shè)備在一定時(shí)間內(nèi)將到該設(shè)備的鄰居關(guān)系和路由保持穩(wěn)定。 園區(qū)網(wǎng)業(yè)務(wù)體系架構(gòu) 基于以上問題，銳捷網(wǎng)絡(luò)在進(jìn)行了多年的園區(qū)網(wǎng)建設(shè)和實(shí)踐中，通過 對(duì)內(nèi)部維護(hù)人員和對(duì)外部用戶的管理上提出了數(shù)字化園區(qū)的整體架構(gòu) 。 辦 公型企業(yè)：園區(qū)管