网络改造方案.docx_咨信网zixin.com.cn

资源描述

网络改造设计方案建议报告 2018 年 2月公司网络现状及需求分析 1.1 前言当今社会已步入信息社会，信息成为社会经济发展的核心因素，信息化已成为当今世界潮流.自从 1993 年美国政府公布实施“信息高速公路计划”之后,在世界引起巨大反响,许多发达国家和一些发展中国家也相继提出了本国或本地区的信息基础设施计划。可以说,信息化程度已成为衡量一个国家现代化水平和综合国力强弱的重要标志。信息技术作为新技术革命的核心.不仅具有高增值性、成为最具经济活力的经济增长点,而且具有高渗透性,以极强的亲和力和扩散速度向经济各部门渗透,使其结构和效益发生根本性改变。信息化已成为当代经济发展与社会进步的巨大推力，尤其是作为国民经济信息化基础的企业信息化，当前更显得尤为重要,信息化建设已成为企业发展的必由之路。信息化是企业加快实现现代化的必然选择! 随着信息时代的到来，企业的生存和竞争环境发生了根本性的变化。对于大型企业而言，信息化无论是作为战略手段还是战术手段，在企业经营中发挥着举足轻重的作用。随着近年来企业信息化建设的深入，企业的运作越来越融入计算机网络，企业的沟通、应用、财务、决策、会议等等数据流都在企业网络上传输，构建一个“安全可靠、性能卓越、管理方便"的“高品质”大型企业网络已经成为企业信息化建设成功的关键基石. 1.2 背景分析我公司的网络改造是公司为了适应新形势下企业激烈竞争,提高公司核心竞争力的一项具有战略意义的举措。成功的网络改造将使我公司能够在较长时间里在高科技领域竞争中继续保持科技优势,从而推动各项业务水平的快速发展。我公司的网络现状如下图： 3 伴随着公司的飞速发展,越来越多的分支机构单位和业务系统接入到网络当中，造成公司网络规模不断扩张,网络结构也越来越复杂，而陈旧的网络核心设备和庞大的网络架构,也带来网络骨干性能不足、IT 运维监控滞后、服务器负载效率低下、网络安全隐患众多等一系列问题，目前，我公司网络系统面临问题的详细情况如下: 1、核心设备陈旧网络核心 S6506 厂家已停产，无法进行板块扩容，也没有备品备件，且 S6506 已在线运行多年，一旦出问题网络瘫痪后无法第一时间迅速恢复. 2、网络架构复杂网关错位整体网络架构没有进行统一规划，多级串联现象严重，造成网络结构庞杂，增加了很多网络传输延迟和故障节点。 192.168。8。1 三层网关 IP 是在一台中兴 zxr10 交换机上而非核心 S6506，这个网关错位导致的数据回传不仅增加了传输延时，还造成了网络带宽资源的浪费. 3、运维监控滞后无法对网络流量进行实时监控和回溯审计，造成盲目的“黑盒运维”——-无法及时准确地掌握网络整体性能、应用负载,并进行针对性的调优,更无法准确定位网络异常原因,排查网络故障和隐患。 4、网络性能存在瓶颈现有网络骨干是百兆网络局域网，但网络吞吐约 200G/天，流量峰值是 200M/S,平均流量为 80M/S,其中流量吞吐最大的是 192。168。8。19 的营销系统服务器，而一旦局域网中出现 P2P、大文件传输、视频流媒体等数据流,正常业务的带宽就会受到挤占和消耗，造成网络访问拥塞,出现延时大，响应慢等现象. 5、业务系统性能待调优首先是 OA 系统因为访问量少，所以响应快，延时小,性能最好。其次是营销系统,在业务高峰时期会有上万(约 13000 左右）的并发会话，此时服务器性能和网络非常吃紧。接着是财务 NC 系统,因为服务器挂在云端,本地是通过 VPN 去进行访问,导致服务器访问性能在广域网传输过程耗损较多，所以，交互质量差的应用会话比例很高，系统整体性能较差。最后是集抄系统，该业务系统虽然整体流量不大，但总体性能表现并不高，这跟两台服务器没有很效地对访问请求进行负载分担有一定关系。 6、网络存在安全隐患网络中存在一些病毒木马、端口扫描、未知异常广播等网络安全隐患,干扰正常网络通信，影响数据传输,并可能造成数据泄密、业务系统停摆无法运转等风险。 7、监控流媒体挤占正常业务带宽 25 / 190 平时的业务数据和监控流媒体数据混在网络中一起传输而未被分开，会导致视频监控数据挤占正常业务带宽通道进行传输,极大造成了局域网带宽资源浪费,影响业务传输质量。 8、运维组织有待完善分支机构接入较多,私接串接导致故障现象屡见不鲜，使运维人员应接不暇，需从制度上和技术上，加强运维组织管理。 1.3 用户需求 l 骨干网络高性能、高稳定性需求网络骨干包括网络的核心层和汇聚层，是整个网络流量的承受者和汇聚者，因此对骨干网络高性能、高稳定性提出了高的要求。为了提高设备的可靠性和稳定性，可采用骨干网络冗余设计，能够实现设备的热备和失效自动切换。 l 网络安全性需求网络安全包括网络级、系统级、用户级、应用级的安全，在网络级，需要利用防火墙的过滤与隔离功能,将信任网络（内网)和不信任的网络（外网)隔离开来，并利用防火墙或出口路由器的 NAT(网络地址转换）功能，对外屏蔽内网的网络拓扑信息，从而避免整网受到外来攻击. 在网络内部，根据用户的网络使用需求,将用户和网络资源划分为不同的 VLAN，在 VLAN间根据需求启用相应的 ACL(访问控制列表),从而保证用户的物理隔离和资源访问的安全. l 网络监控管理分析需求在不影响关键业务运行的前提下，收集分析网络流量中的应用信息，网络管理员可以定义、监控并评估网络连接性、安全性和性能策略，并进行网络的规划和设计,并且能够使管理员了解计算机网络系统的整体状况，可监控到来自网络内部和外部的“黑客”入侵，能够为查明入侵的来源提供有效的依据，直观的显示各种网络流量运行状态，并对各种异常情况实现自动报警。 1.4 设计思路我公司网络设计为三层结构，系统的设计应充分利用当今先进的网络技术，实现网络数据高速有序流通，建立高效率的信息网络平台，形成各个部门内外相联、上下贯通的信息传输网络. 改造后的我公司网络平台应是一个技术先进、性能可靠、功能齐全的系统，系统内的各级用户在各自权限内，在各自站点上进行各自的工作,满足网上语音、视频、监控等多种应用，为集团业务发展提供一个稳定的信息高速公路基础平台。 1.5 建设目标 Ø 尽量保留现有网络中的设备，在确保公司正常业务使用的前提下减少公司投资。 Ø 不仅要考虑到如何实现数据的高性能传输,还要充分考虑网络的冗余与可靠，让系统在运行过程发生故障时，能迅速恢复正常工作，避免造成企业经济损失。 Ø 改造后的网络系统具有良好的可维护性与可管理性,让管理员通过智能化分析工具后对网络运行状况了如指掌，高效率地处置运行故障与安全威胁。 Ø 为公司网络基础设施的未来发展提供良好的扩展接口，让网络核心骨干随着公司规模的扩大、业务的增长，便于进行系统的扩展和升级。 1.6 设计原则在整个网络改造设计过程中，力求尽量利用现有资源的基础上进行改造，严格遵循网络规范和设计原则，为用户打造一个稳定，安全的网络环境，具体考虑到以下的各个方面。 1、稳定性网络的可靠性和稳定性非常重要，决定着网络能够正常运行，在网络设计时，不论是网络节点、通信线路、应用设备还是网络拓扑的设计，都应该对可靠性和稳定性加以考虑,尽量减少故障节点,确保系统运行可靠. 2、先进性设计网络系统的目的主要就是应用。因此，在设计时应当以注重实用和成效为原则，紧密结合具体应用的实际需要。在技术上应该采用先进的网络技术和网络产品，选择技术成熟和实用效果好、市场占有率高、通用性好的设备,适应信息技术的迅速发展，具有良好的技术先进性. 3、安全性对于内部网络以及外部访问的安全必须高度重视，设计部署可靠的系统安全解决方案，避免安全隐患，采取防攻击、防篡改等技术措施,管理和技术并重，全方位构建整个网络安全保障，保证数据和服务器的安全。 4、可管理性考虑到网络系统的后期管理和维护，在方案设计中要充分考虑各个设备和系统的可管理性,使系统建成后易于管理、易于维护、操作简单、易学、易用，有效地提高对网络的管理,便于管理人员进行配置和处理故障。 5、可扩展性着眼长远考虑，不但满足当前需要,并能满足后期扩展的需要，充分考虑今后网络的发展,预留升级和扩充余量，能够兼容不同厂家、不同类型的网络产品及应用软件，便于向更新技术的升级与衔接. 6、经济性本次系统改造建设中，要充分考虑原有系统资源的有效利用,发挥原有设备资源的价值，本着以最少的改造成本，获得最大的改造效果.对一些运行良好的硬件设备及应用软件要加以保护并合理利用，节省一部分投资。另外，对于新增的设备，要尽量选择技术成熟可靠、性价比较高的设备，达到实用、经济和有效的效果. 1.7 设计依据及标准本次网络改造方案设计参考的标准和依据包括：信息及网络系统设计标准 u 《信息技术通用多八位编码字符集(UCS)》（GB 13000.1) u 《信息技术系统间远程通信和信息交换局域网和城域网》（GB 15629。11-2003） u 《信息处理系统光纤分布式数据接口》（ISO 9314—1: 1989） u 《光纤分布式数据接口（FDDI）高速局域网标准》（ANSIX3T9。5） u 《通信光缆的一般要求》（GB/T7427-87）结构化布线系统设计标准 u 《建筑和建筑群综合布线系统工程设计规范》（GB/T 50311—2006) u 《建筑和建筑群综合布线系统工程验收规范》（GB/T 50312—2006) u 《信息技术用户建筑群通用布缆》（ISO/IEC 11801： 2002） u 《信息技术用户建筑群布缆的实施和运行》(ISO/IEC 14763-1: 1999） u 《信息技术用户建筑群布缆配置》（ISO/IEC 14709—1: 1997) u 《信息技术用户建筑群布缆的通路和空间》（ISO/IEC 18010： 2002) u 《光纤总规范》(GB/T 15972。2-1998） u 《民用建筑通讯通道和空间标准》（EIA TIA569）信息安全设计标准 u 《计算机软件配置管理计划规范》（GB/T12505—-1990） u 《计算机信息系统安全保护等级划分规范》（GB 17859—1999) u 《计算机信息系统安全专用产品分类原则》（GB 163—1997) u 《信息技术设备的安全 (ide IEC 60950：1999)》（GB4943-2001） u 《信息技术安全性评估准则》（GB/T18336.1—2001） u 《信息技术信息安全管理实施规则》（ISO17799-2000） u 《涉及国家秘密的计算机信息系统保密技术要求》（BMZ 1-2000) u 《涉密信息设备使用现场的电磁泄漏发射防护要求》(BMB 5—2000） u 《涉及国家秘密的计算机信息系统安全保密测评指南》(BMZ 3-2001)智能化系统设计规范 u 《智能建筑设计标准》(GB/T50314-2006） u 《建筑及居住区数字化技术应用系列标准》（GB/T20299-2006） u 《建筑智能化系统设计技术规程》(DB/J01—615-2003） u 《公共建筑节能标准》（GB50189-2005） u 《民用建筑电气设计规范》（JGJ/T）机房工程系统设计标准 u 《电子计算机场地规通用规则》（GB/T2887-2000） u 《计算机场地安全要求》（GB9361 —1988） u 《电子计算机机房设计规范》（GB50174-1993） u 《防静电活动地板通用规范》(SJ/T10796—2001） u 《电信专业房屋设计规范》(YD5003—1994) u 《通信机房静电防护通则》（YD/T754-1995)火灾报警系统设计标准 u 《高层民用建筑设计防火规范》（GB 50045—1995） u 《火灾自动报警系统设计规范》（GB 50116-1998) u 《建筑设计防火规范》(GBJ 16-1987) u 《火灾报警控制器通用技术条件》（GB 4717-2005) u 《点型感烟火灾探测器技术要求及试验方法》（GB 4715—2005) u 《点型感温火灾探测器技术要求及试验方法》（GB 4716—2005） u 《线型光束感烟火灾探测器技术要求及试验方法》（GB 14003—2005) u 《点型红外火焰探测器性能要求及试验方法》（GB 15631-1995)综合安防系统设计标准 u 《安全防范工程技术规范》(GB 50348—2004） u 《安全防范系统验收规则》(GA 308-2001） u 《安全防范工程程序和要求》（GA/T 75—1994) u 《安全防范工程费用概预算定额编制方法》（GA/T 78-1994） u 《出入口控制系统技术要求》(GA/T 394-2002） u 《出入口控制系统工程设计规范》(GB 50396—2007） u 《视频安防监控系统技术要求》(GA/T 367—2001） u 《视频安防监控系统工程设计规范》（GB 50395—2007） u 《安全防范报警系统设备安全要求和试验方法》(GB 16796—1997) u 《报警系统电源装置、测试方法和性能规范》（GB/T 15408—1994)防雷与接地系统设计标准 u 《建筑物防雷设计规范》(GB 50057-2010） u 《建筑物电子信息系统防雷技术规范》（GB 50343-2012) u 《通信工程电源系统防雷技术规范》(YD 5078-1998） u 《通讯局（站）低压配电系统用点涌保护器》（YD/T 1235-2002） u 《通讯局（站)接地设计暂行技术规范》(YDJ 26-1989) u 《计算机信息系统防雷保安器》（GA 173-2002） u 《计算机信息系统雷电电磁脉冲安全防护规范》(GA 267—2000) u 《建筑物的雷电防护》(IEC 61024： 1990—1998）工程及设备质量验收规范 u 《智能建筑工程质量验收规范》(GB 50339-2003） u 《智能建筑工程检测规程》（CECS 182:2005) u 《建筑及居住区数字化技术应用》（GB/T20299.2） u 《安全防范系统验收规则》（GA308—2001) u 《安全防范报价设备安全要求和实验方法》（GB16796-1997) u 《建筑与建筑群综合布线系统工验收规范》（GB/T50312-2000)其他设计标准 u 《信息技术互连国际标准》（ISO/IEC 11801—95) u 《建筑内部装修设计防火规范》（GB—50222－95） u 《电气装置安装工程施工及验收规范》（GBJ232-82) u 《民用建筑电气设计规范》（JGJ 16—2008） u 《供配电系统设计规范》(GB 50052—2009） u 《低压配电设计规范》（GB 50054-2011） u 《工业与民用供电系统设计规范》（GBJ 52-82） u 《低压配电装置及线路设计规范》（GBJ54-83） u 《通用用电设备配电设计规范》（GB50055—2011） u 《工业企业照明设计标准》（GB 50034—1992） u 《采暖通风与空气调节设计规范》（GB50019—2003) u 《通风与空调工程施工质量验收规范》(GB50243—2002） u 《建筑装饰装修工程质量验收规范》（GB50210-2001） u 用户对网络改造项目的其他要求 2。网络改造设计方案网络拓扑图按照网络分层设计模型,广安爱众公司新规划的网络拓扑结构如下：如上图，整个网络架构设计可分为网络出口、核心层、接入层、传输、安全与优化等五大部分，现分别详述如下： 2.1 网络出口设计外网出口连接上级的 Internet,带宽为上下行对称的 100M，是各种攻击行为、病毒传播、安全事件引入的风险点，通过在网络出口处部署高性能、高可靠、高安全的网关设备，可以很好的缓解风险的传播，阻挡来自外部网络攻击行为的发生，是网络出口的第一道安全屏障. l 下一代防火墙在外网出口部署下一代防火墙，对进出网络的数据进行过滤，保护网络安全，主要实现以下安全防护效果： Ø 防止外网上的病毒、木马等恶意代码传播到内网中，保护内网终端、服务器； Ø 防御来自外网的漏洞扫描行为、入侵行为，使内网免受恶意攻击； Ø 控制用户访问网站行为，禁止访问非法网站、低俗网站、钓鱼网站,降低用户遭受攻击的风险。 Ø 分为信任区域和非信任区域，分别实施不同的安全策略，包括部署区域间隔离、受限访问、防止来自区域内部的 DOS 攻击等安全措施； Ø 通过加密隧道构建 VPN（虚拟专用网络），方便分支机构和外出人员远程接入内网办公，提高工作效率。 l 流量控制器流量控制器可基于 DPI（深度包检测)识别各类上网应用，由此,在防火墙和核心交换机之间，以网桥模式串接了一台流控设备，来对进出防火墙的网络流量进行内容过滤和应用管控，以有效阻断非业务流量和内容，保证内网安全，提高互联网带宽利用率，限制高消耗带宽应用，保障网络通畅和网络的稳定性，控制用户使用无关应用和危险应用，提高网络整体安全性。下一代防火墙到核心交换机之间使用链路聚合，来提供冗余保障。 2.2 核心层设计核心层是网络的高速交换主干，对整个网络的连通起到至关重要的作用。核心层应该具有如下几个特性:可靠性、高效性、冗余性、容错性、可管理性、适应性、低延时性等。在核心层中,应该采用高带宽的千兆以上交换机。因为核心层是网络的枢纽中心,重要性突出。核心层设备采用双机冗余热备份是非常必要的,也可以使用负载均衡功能,来改善网络性能. l 核心交换机集群主要部署两台 S9706 组成一个 CSS（Cluster Switch System）集群，它是网络虚拟化的一种形态，可实现把多台支持集群的交换机链接起来，从而组成一台更大的交换机，CSS 的典型特征有: Ø 交换机多虚一:CSS 对外表现为一台逻辑交换机，控制平面合一,统一管理。 Ø 转发平面合一：CSS 内物理设备转发平面合一,转发信息共享并实时同步。 Ø 跨设备链路聚合: 跨 CSS 内物理设备的链路被聚合成一个 TRUNK 端口，和下游设备实现互联。从上图中我们可以看到，CSS 通过设备“多虚一”和跨设备的链路聚合,不但简化了网络拓扑，而且极大地提高了网络性能： Ø 简化运维：整个 CSS 被作为一台交换机来管理，简化运维、降低 Opex。 Ø 可靠性高：CSS 内一台设备故障，其他设备可以接管 CSS 的控制和转发，避免单点故障。 Ø 无环网络：跨设备的链路聚合，在 CSS 和其他设备互联时，天然避免了环路问题，无需部署 MSTP 等复杂的破环协议. Ø 链路均衡:跨设备的链路均衡，100％的网络链路和带宽的利用率。 CSS 在简化网络、提升转发性能的同时，没有带来任何网络功能的损失。物理交换机具有的所有功能,都在 CSS 系统下得到继承，且性能还得到了放大.CSS 拥有的这些特质，使其得到了越来越多的认可和接受，并成为了部署简单、高效网络的首选方案。 2.3 接入层设计接入层通常指网络中直接面向用户连接或访问的部分.其目的即利用光纤、双绞线、同轴电缆、无线接入等传输介质，实现与用户连接，并进行业务和带宽的分配，允许终端用户连接到网络，因此接入层交换机具有低成本和高端口密度特性。而本次改造中有 14 个接入层点位将采用双线上行至核心交换机（集群），并利用 OSPFECMP（Equal—Cost Multiple Path)特性，在两条专线链路之间进行负载均衡，既增加了网络的可靠性,又能提高了资源的利用率. 2.4 网络规划设计本次网络改造项目中,将摒弃原有传统的单线二层接入方式，从而采用运营商双线运行动态路由协议（OSPF）进行三层传输接入核心，去掉中间级联设备，形成扁平化的网络架构，这种组网方式将各个分支机构分割成单独的局域网，一旦某个分支机构出现网络及线路故障将不会影响其他节点的业务。新的传输接入模式,必须在各个节点建立独立的三层网关进行路由转发,这就要求对整个网络进行新的规划和设置，如下表所示：点位网段 VLAN 互联 10.0。1.0/24 101 10.0.2.0/24 102 代市气所 172。16。31。0/24 301 29 / 190 岳池水务 172.16。32。0/24 302 前峰水务 172.16.31。0/24 303 领水水务 172。16.34。0/24 304 华蓥水务 172.16.35.0/24 305 城北客户中心 172。16。36。0/24 306 城南客户中心 172.16.37.0/24 307 西充燃气 172。16.38。0/24 308 领水燃气 172。16。39.0/24 309 希望接收费 172。16。40。0/24 310 城东水所 172。16.41.0/24 311 龙门收费 172.16。42。0/24 312 武胜水务燃气 172。16。43。0 313 岳池电力 172。16。45。0 314 …… …… …… 以上网络规划和设计，将在大的城域网环境中形成多个广播域，隔离广播风暴和二层流量泛洪，减少 IP 地址冲突，提高整个网络的安全性和可维护性.具体的实施细节，将在项目施工过程中与甲方相关人员进行深化设计。 2.5 网络传输设计从核心层到接入层的传输部分是各个运营商（电信、广电、联通、移动）的 MSTP 专线，其中，大部分接入点专线带宽为 10M，而少数营业收费点专线带宽为 2M，在带宽不够的情况下，可以酌情考虑增加线路带宽。 MSTP(Multi—Service Transmission Platform)是指基于 SDH 平台同时实现 TDM、ATM、以太网等业务的接入、处理和传送，提供统一网管的多业务节点。其构建统一的城域多业务传送网，将传统话音、专线、视频、数据、VOIP、IPTV 等业务在接入层分类收敛,并统一送到骨干层对应的业务网络中集中处理，从而实现了所有业务的统一接入、统一管理、统一维护，提高了端到端电路的服务等级，这种专线技术具备以下优点: l 泛用性 MSTP 电路适用于任何高速率、信息量大、实时性强的业务传送在通信领域的应用前景广阔,用户端接口为通用性的 RJ45 接口. l 可选性 MSTP 专线带宽灵活，在 2M 到 1000M 的区间内，可以灵活选择。 l 安全性安全性有保障，比纯粹基于互联网的 VPN 业务安全性更高。 l 灵活性组网灵活，可支持星形网络、环形网络、点到点连接、多点汇聚等。 2.6 网络安全与优化设计 1、网络回溯分析系统在网络核心 CSS 集群旁部署一台网络回溯分析系统，可以实现了对网络通讯数据包级的高性能实时智能分析，因为网络回溯分析系统是一款集成大容量存储的高性能数据包采集和智能分析硬件平台,它可以提供对各种网络性能和应用性能的关键参数实时分析,同时还能够实时捕获并保存网络通讯流量，具备对长期的网络通讯数据进行快速数据挖掘和回溯分析能力，实现对关键业务系统中的网络异常、应用性能异常和网络行为异常的实时发现、以及异常原因的智能回溯分析，提升了对关键业务系统的运行保障能力和问题处置效率。这样就在内网构建起了一套基于流量的实时监控和回溯体系，不但可以精确了解网络整体性能、应用负载,还能准确定位网络异常原因，及时排查网络故障和病毒、木马、攻击等安全隐患，实现核心链路/核心区域/核心业务运行可视化，彻底解决“黑盒运维”。 2、入侵检测系统在核心 CSS 集群旁挂一台专业的 IDS（入侵检测系统),该设备可通过抓取来自核心交换机的数据流镜像，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。 3、负载均衡器在业务服务器集群子网区域内的各个应用服务器前端部署一套负载均衡器，在多个客户端发起业务访问请求时，由前端的负载均衡器来对所有访问请求进行反向代理和统一调度，进而将业务访问负载合理均衡地分担到每个后端服务器节点上，以提高业务系统的整体服务效能。同时对服务器的操心系统、中间件、文件系统等软件参数配置以及资源池分配进行优化，增强服务器的并发会话处理能力，而数据库方面，则可通过建立索引，优化 SQL 语句和优化内存、日志、表空间分配等方法来提高数据库 I/O 性能，加快数据的存取速度. 在接入交换机处，可通过 Qos 策略将业务数据和监控数据区分开，并给业务数据分配更高的优先级，这样在发生网络拥塞时,监控数据就无法挤占正常业务带宽，由此保障了业务访问的稳定性,不受接入视频监控的干扰。 2.6 网络特点和优势通过大力进行网络改造后，具有达到如下特点和优势： l 高性能和高可用的网络骨干升级核心交换机替换老旧设备，可以大力提升核心节点的转发速度,增加网络整体吞吐量，形成一个高性能、可扩展、可靠的高效网络。 l 层次架构清晰对网络架构进行扁平化重构，不仅可以解决多级串连现象，大大简化网络构成,还能减少中间节点的故障影响，迅速提高流量转发的处理速度，形成一个架构清晰,层次分明、可维护性强的网络基础平台. l 运维透明化和可视化构建网络的实时监控和回溯体系，将全网流量可视化、透明化，分析从流量趋势、应用分布到性能负载等多方位情况,能让运维人员对整个网络运行情况了如指掌，及时发现处理网络异常和攻击威胁，将危害消灭在萌芽阶段，并快速定位故障原因和节点,缩短故障影响时间，提高故障处理效率，保证网络的高效稳定运行。 l 弹性的应用架构部署负载均衡器，进一步优化应用架构,让每台服务器轮流均衡地分摊客户端访问请求，来提高业务系统的整体服务效能,消除单点故障，形成一个高并发、高可用、高扩展性的业务群集系统，并结合业务系统性能优化,来提高服务器的并发会话处理能力与数据库 I/O性能,加快业务的响应速度。 l 专门的流控体系在外网出口处通过流量控制器来审计和管控互联网流量，屏蔽非法应用，限制违规流量，保障带宽资源，提高员工上网的合规性和网络使用效率，同时，在汇聚交换机处设置 Qos策略,让监控数据就无法挤占正常业务带宽，保障业务访问稳定性，不受视频监控流媒体数据的干扰. l 强大的安全防护保障通过部署下一代防火墙和入侵检测系统(IDS)的安全策略，可进一步强化内网的信息安全保障，防止各种网络攻击和入侵活动,提高网络安全系统的防护免疫力。 l 高效整洁的数据中心通过新机房搬迁，可以打造一个新的整洁舒适、专业美观的数据中心环境，为机房设备高效的管理和安全运营提供有力支撑和保证 2.9 主要设备介绍 2.9.1 下一代防火墙 USG6350 当前,智能手机、iPad 等终端已经普及,移动应用程序、Web2。0、社交网络应用于企业运营的方方面面。企业网络边界变得模糊，信息安全问题日益复杂。通过 IP 和端口进行访问控制的传统的防护墙无法应对层出不穷的应用层威胁。华为 USG6300 系列下一代防火墙面向中小企业，通过对应用、用户、内容、威胁、时间、位置 6 个维度的全面感知,提供精细的业务访问控制和加速。入侵防御（IPS)和防病毒(AV）等应用层深度防御与应用识别相结合，有效提高了威胁防御的效率和准确性。具备全面的防护功能，一机多能，有效降低管理成本.精细的带宽管理和 QoS 优化能力有效降低企业的带宽租用费，确保关键业务体验。持续、简单、高效地提供下一代网络安全. l 产品特性 Ø 精准的访问控制传统防火墙主要通过端口和 IP 进行访问控制,下一代防火墙的核心功能依然是访问控制.USG6000 在控制的维度和精细程度上都有很大的提高：一体化防护: 从应用、用户、内容、时间、威胁、位置 6 个维度进行一体化的管控和防御。内容层的防御与应用识别深度结合，一体化处理。例如：识别出 Oracle 的流量，进而针对性地进行对应的入侵防御，效率更高，误报更少。基于应用: 运用多种技术手段，准确识别包括移动应用及 Web 应用内的 6000+应用协议及应用的不同功能，继而进行访问控制和业务加速。例如：区分微信的语音和文字后采取不同的控制策略。基于用户：通过 Radius、LDAP、AD 等 8 种用户识别手段集成已有用户认证系统简化管理。基于用户进行访问控制、QoS 管理和深度防护。基于位置: 与全球位置信息结合,识别流量发起的位置信息;掌控应用和攻击发起的位置，第一时间发现网络异常情况。根据位置信息可以实现对不同区域访问流量的差异化控制.支持根据 IP 自定义位置。 Ø 全面的防护范围越来越多的信息资产连接到了互联网上，网络攻击和信息窃取形成巨大的产业链，这对下一代防火墙的防护范围提出了更高要求.USG6000 具备全面的防护功能: 一机多能：集传统防火墙、VPN、入侵防御、防病毒、数据防泄漏、带宽管理、上网行为管理等功能于一身,简化部署，提高管理效率。入侵防护（IPS）：超过 3500+漏洞特征的攻击检测和防御。支持 Web 攻击识别和防护，如跨站脚本攻击、 SQL 注入攻击等;防病毒（AV）: 高性能病毒引擎，可防护 500 万种以上的病毒和木马，病毒特征库每日更新;数据防泄漏：对传输的文件和内容进行识别过滤。可识别 120+种常见文件类型，防止通过修改后缀名的病毒攻击。能对 Word、Excel、PPT、PDF、RAR 等 30+文件进行还原和内容过滤，防止企业关键信息通过文件泄露。 SSL 解密：作为代理，可对 SSL 加密流量进行应用层安全防护，如 IPS、AV、数据防泄漏、URL 过滤等。 Anti—DDoS：可以识别和防范 SYN flood、UDP flood 等 10+种 DDoS 攻击,识别 500 多万种病毒。上网行为管理：采用基于云的 URL 分类过滤，预定义的 URL 分类库已超过 8500 万，阻止员工访问恶意网站带来的威胁。并可对员工的发帖、FTP 等上网行为进行控制。可对上网记录进行审计. 安全互联：丰富的 VPN 特性，确保企业总部和分支间高可靠安全互联。支持 IPSec VPN、SSL VPN、 L2TP VPN、MPLS VPN、GRE 等； QoS 管理: 基于应用灵活的管理流量带宽的上限和下限，可基于应用进行策略路由和 QoS 标签着色。支持对 URL 分类的 QoS 标签着色，例如：优先转发对财经类网站的访问。负载均衡: 支持服务器间的负载均衡。对多出口场景，可按照链路质量、链路带宽比例、链路权重基于应用进行负载均衡。虚拟化：支持多种安全业务的虚拟化，包括防火墙、入侵防御、反病毒、VPN 等。不同用户可在同一台物理设备上进行隔离的个性化管理。 Ø 简单的安全管理下一代防火墙的防护范围和控制精度比传统防火墙大大增加,这对使用者的经验和技能提出了更高的要求。华为 USG6000 利用 Smart Policy 功能降低对使用者的要求，更好的进行防护.Smart Policy 主要具备以下功能：快速部署策略：内置场景策略模板，不依赖使用者的经验也能快速地部署常用防护策略。例如：如果希望使用网络存储，管理员仅需基于“使用网盘”这个策略模板,就能建立一系列策略.在策略中，对网盘类应用允许下载并进行病毒检测,但禁止文件上传。智能优化策略: 根据内置应用风险库和网络实际流量对已部署的安全策略进行评估和优化，使其符合最小授权原则.在企业遗留大量端口防护策略，需要转换为 NGFW 使用的应用防护策略时尤其有用。智能精简策略：自动发现重复的和长期没有使用的策略，精简策略规模，简化管理; Ø 高效防护性能 UTM 产品当开启应用层防护时性能下降明显，无法满足当前应用层防护的性能要求.下一代防火墙要求在多重防护的情况下仍保持高性能. 39 / 190 USG6000 系列下一代防火墙采用全新架构的智能感知引擎( IAE, Intelligence Awareness Engine），采用了一次解析多业务并行处理的架构，确保多重防御下的高性能体验。IAE 使用了三大核心技术: 一体化描述语言：应用识别、IPS、AV 采用统一的描述语言，一次性处理，一次性分析，减少重复的操作;一体化处理架构：不同于 UTM 对各个安全功能串行处理，USG6000 在完成统一解析后，各安全业务检查是并行的,最后做统一处理。每个步骤一次性做好，确保多安全业务开启情况下,对整体性能影响最小；软硬结合一体化：对有规律、大批量、高运算能力要求的报文处理,例如:报文加解密、特征匹配，采用专用多核平台由专用的协处理器硬件处理.对小规模的运算，仍然用软件处理。软硬结合一体化的处理方式让整体性能更高。 Ø 组网应用 Ø 企业内网边界防护在企业内网部门和无线接入的汇聚网络部署下一代防火墙.对 PC 用户通过防火墙策略基于用户信息进行访问控制。对移动用户采用基于用户+应用的策略控制，实现精细权限管理，并记录日志。对邮件、IM、文件传输等进行内容过滤和审计，监控社交类应用，避免数据泄露。 Ø 互联网出口防护在互联网出口部署下一代防火墙,在出口进行访问控制，阻止一切非认证访问。启用入侵防御功能，提供万兆级应用层威胁实时防护。对邮件、IM、文件传输等进行内容过滤和审计，监控社交类应用，避免数据泄露。基于用户、应用、时间进行 QoS 管理，优先保障核心用户和关键业务的服务质量。通过 URL 分类和应用阻断进行上网行为管理。阻断挂马网站和工作无关网站，根据角色监控员工可以访问的网站和可以使用的网络应用。 Ø 云数据中心边界防护数据中心出口部署下一代防火墙，进行安全业务和系统资源的虚拟化特性，可为每个虚拟环境提供超乎寻常的安全体验。万兆级入侵防御可有效阻断各类黑客攻击，并可根据不同的虚拟环境需求，提供差异化的防御特性，保障数据安全. 通过 Anti-DDoS 特性,对拒绝服务攻击流量进行清洗，保障数据中心对外业务。 Ø VPN 远程互联通过下一代防火墙的 VPN 接入,在互联网上构建一条可信、可控、可管的安全传输隧道.在外人员和移动用户可通过 SSL VPN 接入，提供 Windows、IOS、Android、Blackberry， Symbian 多种操作系统支持，提供泛终端的接入能力。 l 产品规格型号 USG6350 固定接口 4GE+2Combo 扩展槽位 2*WSIC 接口模块类型 WSIC: 2×10GE（SFP+）+8×GE（RJ45)、8×GE（RJ45）、8×GE（SFP） 4×GE（RJ45）BYPASS 产品形态 1U 尺寸（W×D×H）mm 442×421×43.6 满配重量 10kg HDD 选配 300GB 单硬盘，支持热插拔冗余电源选配电源 AC 100～240V 最大功率 170W 工作环境温度：0~45℃(不含硬盘)/5℃～40℃ (包含硬盘) 湿度：10%～90% 非工作环境温度：-40℃～70℃ /湿度：5%～95% 、 2.9.2 核心交换机 l 产品概述 S9706 S9700 系列交换机是华为公司面向下一代园区网核心和数据中心业务汇聚而专门设计开发的高端智能 T 比特核心路由交换机。该产品采用先进的多层交换架构,提供持续的带宽升级能力，支持 4

展开阅读全文