【正文】 ............. 34 無線網(wǎng)絡保障－隨時隨地接入網(wǎng)絡，業(yè)務不中斷 ...................................................... 34 網(wǎng)絡安全保障－出口安全保障，確保業(yè)務穩(wěn)定 .......................................................... 35 運維管理保障－基于業(yè)務的高可控管理 .................................................................... 35 5 典型成功案例 ................................................................................................................................ 36 產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 青島軟件園案例 .................................................................................................................. 36 大慶外包產(chǎn)業(yè)園案例 ........................................................................................................... 37 產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 1 1 前言 隨著當前中國經(jīng)濟的高速發(fā)展，各企業(yè)的業(yè)務也隨之快速擴張，由于市場競爭的需要，企業(yè)圍繞關聯(lián)產(chǎn)業(yè)和產(chǎn)業(yè)鏈形成有機的分工與協(xié)作關系的 產(chǎn)業(yè) 園區(qū)正在快速的發(fā)展，逐漸在區(qū)域形成了聚集效應，給園區(qū)內的每個企業(yè)的發(fā)展帶來了新的契機。 產(chǎn)業(yè) 園區(qū)經(jīng)濟的形成也給各個企業(yè)帶來了新的課題，為了提高競爭力，推進上下游產(chǎn)業(yè)的協(xié)同工作，進而更好地管理和溝通，就需要打通企業(yè)或部門間的壁壘，使企業(yè)的信息流暢通，這樣也就必然向企業(yè)的IT部門提 出了更高的要求 — 如何構建企業(yè)的園區(qū)網(wǎng)，能更好地為企業(yè)自身服務 產(chǎn)業(yè)園區(qū)是由同一產(chǎn)業(yè)鏈的多家企業(yè)形成的企業(yè)社區(qū)。大型產(chǎn)業(yè)園占地幾十平方公里，小型產(chǎn)業(yè)園只有一棟樓而已 ， 常見的產(chǎn)業(yè)園類型有 ：軟件產(chǎn)業(yè)園，航空軟件園，電子軟件園，動漫產(chǎn)業(yè)園，汽車產(chǎn)業(yè)園，醫(yī)藥產(chǎn)業(yè)園，環(huán)保產(chǎn)業(yè)園，物流產(chǎn)業(yè)園等等。 產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 2 2 園 區(qū)網(wǎng) 需求分析 園區(qū)網(wǎng) 常見場景 一般產(chǎn)業(yè)園的模式 分為兩種： 生產(chǎn)制造型企業(yè)：其特點是占地面積較大，包括車間、廠房、倉庫等一些列的企業(yè)辦公樓宇和配套設施，企業(yè)自主管理其 IT運維服務系統(tǒng)。 園區(qū)網(wǎng)網(wǎng)絡建設需求 基礎信息化需求 ? 保障各系統(tǒng)的 IT 化，信息點全覆蓋 ? 保障系統(tǒng)的可靠性、穩(wěn)定性 ? 隔離各企業(yè)之間的業(yè)務隔離 ? 保障市場、研發(fā)、生產(chǎn)、辦公數(shù)據(jù)的安全性，業(yè)務訪問的合法性 產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 3 數(shù)據(jù)、應用服務融合需求 ? 部門間數(shù)據(jù)割裂：憑證滿天飛，報表一大堆；一家一個數(shù)，責任相互推；決策無依據(jù) ? 對外服務分別提供：無法進行統(tǒng)一的管理和安全部署 安全 需求支撐 ? 如何保障內部數(shù)據(jù)共享、 應用訪問的安全 ? 如何保障內部接入的安全 ? 如何保障來自 Inter、企業(yè)外聯(lián)網(wǎng)絡的訪問安全 管理 需求支撐 ? 網(wǎng)絡設備可視化管理 ? 智能靈活的告警管理 ? 關鍵業(yè)務評估和管理體系 ? 融合事件、流量、性能和安全信息的多維 拓撲呈現(xiàn)能力 最終實現(xiàn)降低企業(yè)信息管理的復雜程度，實現(xiàn)運籌帷幄的智能化園區(qū)管理。 產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 4 需求特點總結 業(yè)務永不中斷 ： 架構穩(wěn)定 設備冗余 數(shù)據(jù)存儲連續(xù) 快速定位故障 ： 業(yè)務資源統(tǒng)一管理 有線無線統(tǒng)一管理 安全行為審計 提高工作效率 ： 上下級及時溝通 隨時隨地接入網(wǎng)絡 企業(yè)業(yè)務安全 ： 各企業(yè)業(yè)務相互隔離 出口安全 產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 5 3 銳捷園區(qū)網(wǎng) 解決方案 產(chǎn)業(yè)園區(qū)整體網(wǎng)絡拓撲圖 w w w . ru i j i e . co m . 產(chǎn)業(yè)園整體網(wǎng)絡拓撲圖聯(lián)通 電信RIL L 全網(wǎng)管理E l o g 日志審計IP F IX 流量分析千兆交換機安全管理區(qū)服務器區(qū)IP 智能存儲企業(yè) 1樓層接入交換機與無線 AP網(wǎng)絡核心網(wǎng)絡出口區(qū)防火墻路由器企業(yè) 2A CE各企業(yè)匯聚交換機企業(yè) 3無線交換機 園區(qū)網(wǎng)解決方案 基礎網(wǎng)絡方案設計 架構穩(wěn)定 完美重啟特性 產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 6 銳捷高端交換產(chǎn)品通過 GR完美重啟技術，可實現(xiàn)核心產(chǎn)品在進行引擎切換數(shù)據(jù)不間斷轉發(fā)的時候，路由鄰居關系不會產(chǎn)生震蕩，提升網(wǎng)絡的可靠性。在路由協(xié)議重啟完畢后，周邊設備協(xié)助其進行路由信息同步，在盡量短的時間內使該設備的各種路由信息恢復到重啟前的狀態(tài)。這個過程即稱為完美重啟。 設備冗余 一、 VSU 虛擬云交換特性 產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 7 使用 VSU后，兩臺核心設備邏輯上變成 1臺。網(wǎng)絡中不再需要生成樹、 VRRP等復雜的協(xié)議，大大降低配置維護工作量。即使一臺核心或上聯(lián)鏈路中斷，也可實現(xiàn)快速切換。路由技術和 RSTP生成樹技術均可實現(xiàn)雙鏈路切換，但收斂時間均在秒級，在一定程度上仍 然不能滿足大多數(shù)用戶的需求。 REUP技術可實現(xiàn)小于 50ms的鏈路快速切換。 REUP可實現(xiàn)負載均衡，允許 REUP對的兩個端口同時轉發(fā)不同 vlan的數(shù)據(jù)報文，以便充分利用鏈路帶寬。 企業(yè)之間 網(wǎng)絡邏輯 隔離 由于園區(qū)網(wǎng)的業(yè)務特點，各個企業(yè)經(jīng)常會訪問園區(qū)網(wǎng)所租用的數(shù)據(jù)中心， 對于只有 一套物理的網(wǎng)絡系統(tǒng) 的園區(qū)來說 ， 各個企業(yè)之間訪問數(shù)據(jù)中心需要有隔離措施，避免不同企業(yè)之間的交叉互訪 ，所以 園區(qū) 網(wǎng)絡拓撲結構一般為物理合一、邏輯隔離的網(wǎng)絡拓撲結構，而各種不同的業(yè)務系統(tǒng)一般通過 VLAN做業(yè)務隔離 。 NFPP接受報文的端口或者發(fā)送到 CPU通過對送往 CPU的報文進行攻擊檢測，的場景進行安全檢測，采取相應保護措施，從而達到對管理面、數(shù)據(jù)面和控制面的保護作用。這也符合 NFPP“早發(fā)現(xiàn)，早隔離”的原則。 基于 NFPP網(wǎng)絡基礎保護策略，我們可以輕松應對來自于 arp、 icmp、 dhcp和 ip掃描的攻擊。如何在核心的網(wǎng)絡設備上監(jiān)控流量、限制異常流量就成了大家關注的技術問題。通過 IPFIX這種標準化的流量監(jiān)控技術，各個廠商的網(wǎng)絡設備可以采用同一種流量監(jiān)控標準，極大地方便了網(wǎng)絡流量的監(jiān)控和實際部署。例如，用源 /目的 IP地址、源 /目的端 口號、三層協(xié)議類型標示一個數(shù)據(jù)流（采集流量的時候也只采集相應的這幾個屬性）。但是，如果采用多種屬性去表示一個數(shù)據(jù)流，那采集的流量將會大大增加，極大的增加了網(wǎng)絡設備、帶寬和上層服務器的壓力。在 IPFIX的數(shù)據(jù)結構中，網(wǎng)絡管理員可以在“模板”中靈活的定義想采集的網(wǎng)絡流量的屬性，然后在輸出的數(shù)據(jù)流中可以包含已定義的“模板”以及相對應模板的數(shù)據(jù)流，通過這種方式 ，網(wǎng)絡管理員可以自由的添加更改域（添加或更改特定的參數(shù)或協(xié)議），以便更方便地監(jiān)控 IP流量的信息。 銳捷網(wǎng)絡十萬兆產(chǎn)品的 IPFIX技術是通過在每個線卡對數(shù)據(jù)流量進行采集，過濾，然后把采集到的數(shù)產(chǎn)業(yè)園區(qū)網(wǎng)絡解決方案 11 據(jù)發(fā)送到交換機的多業(yè)務卡上進行初步分析統(tǒng)計，最后發(fā)送到上層服務器進行數(shù)據(jù)收集統(tǒng)計，顯示出圖形化的結果。 使用 IPFIX技術，通過對網(wǎng)絡骨干鏈路的流量監(jiān)控，由交換機將采集的數(shù)據(jù)發(fā)送到上層服務器，根據(jù)采集的數(shù)據(jù)進行模式匹配、基線分析等，可以進行 DoS/DDoS攻擊和蠕蟲等病毒檢測，同時結合記錄的源數(shù)據(jù)包相關特征快速定位網(wǎng)絡中的異常行為。同時包含 DMZ區(qū)域，部署 DNS、 WEB、 Email等對外 應用服務器，為外網(wǎng)提供相關資源訪問服務。外網(wǎng)連接層需要考慮以下三個方面： （一）路由轉發(fā)性能，包括網(wǎng)絡地址轉換（ NAT）、基于策略的路由選路（ PBR）； NAT性能考核指標主要為 NAT并發(fā)連接數(shù)及 NAT每秒新建連接數(shù)。從而避免訪問路徑跨越了不同 ISP網(wǎng)絡，確保資源訪問效率最大化。為了提高出口帶寬的整體利用率，同時提供鏈路冗余備份，外網(wǎng)連接層必須提供多鏈路負載均衡與備份功能。 （四）智能 DNS 解析 為了讓園區(qū)網(wǎng)對外開放的資源能夠更快捷的讓外部網(wǎng)絡用戶所訪問，則需要合理引導外部網(wǎng)絡用戶所訪問的路徑。由此為外部網(wǎng)絡用戶提供一個動態(tài)最優(yōu)的訪問路徑 安全防護層設計 安全防護，是出口網(wǎng)絡設計中必不可少的內容。 （二）狀態(tài)檢測 基于六元組來識別網(wǎng)絡流量，并針對每條網(wǎng)絡流量建立從二層至七層的狀態(tài)信息。 （三）攻擊防御 基于狀態(tài)檢測可以防御的各種網(wǎng)絡攻擊包括： IP 畸形包攻擊、 IP 假冒、 TCP 劫持入侵、 SYN flood、Smurf、 Ping of Death、 Teardrop、 Land、 ping flood、 UDP Flood 等等。支持內容過濾，實時將帶有病毒、木馬的數(shù)據(jù)流進行過濾阻斷。 由于出口帶寬有限，業(yè)務應用之間存在帶寬競爭關系。 出口帶寬有限、帶寬的分配不合理是 園區(qū) 邊界網(wǎng)的最主要矛盾之一。 遠程接入層 設計 各個企業(yè)用戶從外網(wǎng)訪問園區(qū)網(wǎng)相應資源的時候，通常采用 vpn的技術方式來實現(xiàn)，為了擴大服務范圍 ，提升用戶的滿意度，通過銳捷 SAM 認證系統(tǒng)的權限管理可實現(xiàn)企業(yè) vpn 用戶撥入訪問對應的企業(yè)應用服務器資源，而且部署的方式簡單，降低管理精力投入。如果采用胖 AP 來進行部署，那么對于無線 AP 的統(tǒng)一 管理和用戶接入權限的控制是有難度的，原因如下： ? 網(wǎng)管 IP 地址、 SSID 和加密認證方式等無線業(yè)務參數(shù)、信道和發(fā)射功率等射頻參數(shù)均需要手工逐一配置 ； ? 查看狀態(tài)及用戶統(tǒng)計時，需要逐一登陸查看； ? AP 軟件無法自動完成，維護人員需要手動逐一 對設備進行軟件升級，費時費