公司数据中心网络系统解决方案.docx

1、公司数据中心网络系统解决方案1.1、网络现状与需求分析此处添加客户公司目前的网络拓扑图XXX公司目前数据中心建于XXX,目前承担整个集团数 据交换与存储的重任。现有网络拓扑结构如上。随着XXX公司的建设，现需在园区内建设一全新数据中 心，用以在园区全面启动时顺利接管原数据中心的数据交换 与存储重任。XXX公司数据中心的建设是为XXX公司办公、管理提供 服务的，网络系统建设主要目标是在XXX公司管辖范围内, 采用国际标准网络协议，建立在XXX公司内联网 (BDFZ-Intranet)并通过高速信道与各地市分公司、中国互 联网(China-NET)相连，同时建设信息资源管理中心。1-2. XXX公

2、司数据中心网络建设目标XXX公司数据中心网络建设目标是将XXX公司的各种 PC机、工作站等，通过高性能的网络，连接到各种服务器 上，组成分布式的计算环境，使其成为提高办公、管理水平 必不可少的网络支撑环境。高达99.99%的高可靠性，使之成为XXX公司IDC中心数据 库服务器与中间业务服务器接入服务最有力的提供者，此 外，依靠VSS技术，将两台XXX交换机虚拟成一台交换机, 将背板带宽扩大为1.44T,同时将可靠性提高到99.999%的 电信级别。数据库服务器与中间业务服务器通过千兆链路连接入汇 聚交换机XXX之上，通过10G链路双上联入核心交换机 XXX,并依靠跨机框链路捆绑技术，将因为链路

3、故障造成的 倒换1.4.6、外联网络接入模块XXX公司做为中国家电零售业的领军企业，其银联及各 大商业银行有着相当频繁的业务来往，并且，随着XXX公司 企业多元化发展，其各实业公司，都与IDC中心之间有着平 凡的数据交换要求，故XXX公司IDC中心外联网络接入系统 是其IDC中心极其重要的一部分，有着极高的数据交换要求 以及响应的安全要求。为此，我们推荐XXX路由器的外联网 络接入板卡为整个XXX公司IDC中心提供外联网络接入服 务,其好处在于可以灵活的使用XXX上配置的防火墙等功能 模块，为各种业务提供足够的安全保证带内带外网络管理接入模块网络管理对于一个大型化的网络是至关重要的，同时也具

4、有挑战性。对XXX公司信息中心的管理主要采用基于Intel Device View for Web的管理方法，基于Intel Device View for Windows的管理方法进行辅助管理，而基于telnet和终端仿真 的管理方法作为备用。通过XXX提供的管理方法，可以设置 完善的管理员安全策略，能够有效地防止非法用户窃取管理 员权限，对网络进行任何改动。对于整个XXX公司数据中心网络的管理，我们采用CISCO WORKS2000作为网络管理软件，它是世界上使用最为广泛 最为成功的网管软件之一，能对多个厂家提供的支持SNMP 协议的交换机、集线器、路由器、打印机、PC机与工作站 进行管理

5、。这样我们可以查看网络上使用的硬件和软件的清 单，诊断并解决远程工作站的问题，给网络用户快速分发最 新软件，检查用户软件的License,检测客户机上的病毒，使 用加密和解密保证网络的安全，监视服务器的性能并能设定 报警值。由于IP、存储和互联基础设施上的可管理性能够利用先进 的通用管理和诊断工具简化配置、调配、监控和变更控制， 因而能减轻管理负担，增强流程的一致性，并改善数据中心 小组之间的协作。另外，可管理性功能还能向管理应用提供 网络设备的流量和接口信息，以便操作人员能够查看实时和 历史网络状态。另外，操作人员还能利用思科或第三方管理工具实现网络的配置、监控和排障。思科数据中心网络架构提

6、供先进的通用管理接口、功能和工 具，不但能显著提高数据中心管理人员的运营效率，降低复 杂性，缩短学习周期，还能提高服务水平，加快解决问题的 进程。利用基于角色的访问控制，管理员可以将特定资源的 管理控制分配给专人负责。思科数据中心网络架构包含五大可管理性：简单网络管理协议(SNMPV3)在IP交换和路由网络、存储网络和光网上支持统一的MIB格 式，能够改善配置、资产管理和变更管理。嵌入式管理代理能够简化可管理性支持基于策略的自适应管理，能够在问题造成重大影响之前 就快速予以解决，而且能够简化服务实施。例如，为Cisco Catalyst 6500系列平台开发的新型CiscoView设备管理器

7、代理能够改善基于策略的端到端配置。相似的Cisco IOS软件和 SAN OS命令行界面在管理器与设备之间提供一致的通信。标准通用信息模型和可扩展标记语言(XML) API通用高级诊断功能简化存储网络中第三方系统管理的实施。简化实时监控、历史统计数据收集和报告。另外思科安全监控、分析和响应系统（思科安全MARS） 是一款基于设备的全功能解决方案，可提供针对您现有安全 部署的、前所未有的了解和控制能力。思科安全MARS是思 科安全管理生命周期的一个关键组件，可帮助您的安全和网 络机构识别、管理和抵御安全威胁。它可充分利用您现有的 网络和安全投资，来识别、隔离被攻击的组件和建议对其精 确删除的方式

8、。它也有助于保持内部策略符合性，可作为整 体法规符合性解决方案工具中一个不可缺少的部件。安全和网络管理员所面临的问题有：安全和网络信息过载性能不佳的攻击和故障识别、优先级划分和响应更高攻击先进程度、速度和修复成本满足法规符合性和审查要求较少的安全人员和预算思科安全MARS可通过以下功能满足其需要：集成网络智能，进行网络异常事件和安全事件的先进关 联察看校正后的事件并自动执行调查通过全面充分利用网络和安全基础设施来防御攻击监控系统、网络和安全运行来帮助企业达到法规符合性以最低TCO提供一个易于部署和使用的、可扩展的设备1.5、高性能与高可靠性设计1.5.1、高性能设计在XXX公司数据中心网络中，

9、主干线采用的是万兆位， 因此需要主干设备要有较高的交换能力，拥有思科一代高密 度万兆位连接，满足苏宁电器数据网络中的高通信量工作 站、工作组和服务器的需求。通过现有铜线线缆或光纤集合 工作站服务器群可以提高多媒体应用的运行速度，同时减少 瓶颈并提供非堵塞性能。提供第二、第三、第四层无堵塞性 能，强大的带宽整形功能和八个801.1优先级排队，以实现 完善的第二、第三、第四层通信控制，最大的介质灵活性， 保护了超5类线基础设施投资，并以光纤GBIC突破了距离 的限制。在XXX公司数据中心网络中，采用的第三层交换机是基 于包进行交换的，能够进行分布路由，为了避免发生堵塞， 第三层交换机必须能够提供接

10、近交换速度的路由能力。另外 为了在整个网络上实现虚拟网划分，第三层交换机还必须支 持分布式的虚拟网设置。在关键子网，保证与主干网络高速 通道的足够带宽，以及冗余连接。根据以上分析，我们充分考虑了系统的性能价格比，采用 了具有高可扩展性和稳定性、最标准的思科公司的全套网络 产品。考虑到主干网络设备具有万兆以太的交换能力，同时 支持链路汇聚功能，以保证网络的带宽，另外还要支持VLAN 划分，提供灵活活的网络配置。并且在苏宁电器数据中心将 要使用大量的光缆布线。1.5.2、高可靠性设计拓朴冗余网络拓朴图雨花园区网络雨花园区网络办公楼）一二层交缺机一，二层交恢机一防火埼模块- 三层火挟机 Nokta防

11、火埼 检版94 N7000M C6509二 C7513，号/三层交挟机R7609J防火埼模块Nokia防火埼由 C6509力 N7D00C7513中，硕房 7506呼叫中心淮海路数据中心各大区接入层广域网及囱区局域网接入区XXX公司中心拓朴在设计阶段就充分考虑线路的冗余问 题，以保证数据中心网络的高可靠性。在XXX公司中心内，所有核心设备之间链路都采用双链 路冗余备份设计，保证在某一条链路故障时，不影响整个数 据中心的数据交换业务。链路冗余在数据中心的交换机之间的连接均采用Ether Channel的 设计以保证链路的冗余。Ethernet Channel 设计原则网络连接Channel设计原

12、则核心设备之间互连2*10GE核心与分布设备互连2*10GE分布设备之间互连2*10GE分布与接入设备互连2*10GE交换冗余交换区域的可靠性通过STP实现。被STP阻断的逻辑链 路在线路或设备出现故障的情况下可以自动释放，形成新的 拓扑结构，保证网络数据的正常传输。网关冗余HSRP （热备份路由协议）是为网络接入设备提供三层 网关冗余的技术。配置的HSRP网关向接入设备提供虚拟IP 和MAC地址，并使用hello检测HSRP成员状态，确保网关 冗余。分布层设备在连接普通接入时采用HSRP；HSRP优先级策略与STP的根网桥主备设置一致； HSRP设置Preempt ,确保局优先级网关为激活状

13、态路由冗余网络物理链路的冗余设计为路由协议选择备份连接提 供了基础。网络使用OSPF路由协议根据网络链路的metric 计算最短路径。当设备或连接因故障中断时，OSPF会自动 重新计算网络路径，并使用正常的连接保障数据通讯。考虑运行维护的简单性，配合STP的Root Primary定义和 HSRP Primary定义，在网络设计上，将通过metric的调整， 在分布层和核心层将数据流引导到冗余网络结构的一侧，而 当设备或连接因故障中断时，OSPF会自动重新计算网络路 径，并使用正常的连接保障数据通讯。1、设备冗余考虑到数据中心的特点，在XXX公司中心设计初期，就 对设备冗余做了充分的考虑，核心

14、设备采用可靠性最高的双 机热备份模式，关键设备全部双机热备份，保证单一设备故 障时，数据中心业务不受任何影响，彻底解决单点故障问题。 引擎冗余数据中心的核心的交换机和路由器都使用两块冗余引 擎，在两块冗余引擎上使用SSO的切换方式。SSO切换 方式只需要3秒左右就可以完成切换，并且不用重新初 始化板卡。网络连接RPRRPR+SSOSSO+NFS备份引擎自动切换是是是是同步 startup-config是是是是同步running-config否是是是同步 RIB&FIB否否是是同步二层链路状态否否是是同步路由协议Session否否否是切换时间长较短短短复杂程度低较低中高电源冗余信息中心的网络设备

15、都需要支持两种电源冗余工作模 式，建议使用Redundant模式（默认设置）。Combined 模式一般用于电源更换或升级等特殊情况。模块和端口冗余模块和端口冗余的通用原则-同一机箱优先使用高编号槽位；本着建设一流数据中心的精神，我们提出了以下XXX公 司网络建设目标：内部信息发布：XXX公司向各地分公司发布规章制度、 规划、计划、通知等公开信息等。2）电子邮件：XXX公司内部的电子邮件的发送与接受。3）文件传输：XXX公司内部的文本文件、图象文件、语 音文件等发送与接收。4）资源共享：文件共享、数据库共享等。6）接入因特网：通过专线接入ChinaNet、Internet,对外 发布信息。1.

16、3、设计的依据与原则1.3.1、设计依据1）中国教学和科研计算机网络（CERNET）工程技术规 范书2）中华人民共和国计算机信息网络国际联网管理暂行规 定3）有关的网络技术国际标准4）RFC有关文件1.3.2、设计原则1）开放原则-同一模块优先使用高编号端口；-上连链路优先使用高编号端口、下连链路优先使用低 编号端口，互连链路尽量使用引擎上自带的端口；-确保Channel中的两个端口端口使用不同模块，由于 核心交换机只配置了一块10GE端口模块，20GE Channel只能使用同一模块的端口。、端口的可靠性端口是网络设备互连的通道，思科提供多种端口功能协议。 为了保障网络设备连接的可靠性，路由

17、交换机端口应根据数 据中心的通讯模式设计。协议路由端口（非Trunk）Trunk交换端口Vian交换端口Auto-Negotiation禁止禁止，手工设置禁止DTP禁止启用禁止PAgP启用启用禁止UDLD启用启用禁止Vian无Trunk模式，自动协商接入模式CDP启用启用禁止1.7、XXX公司数据中心网络虚拟化服务（此处为相应设备的亮点技术，根据具体项目不同编写）1.7.1、CISCO Nexus7000虚拟多机技术Cisco Nexus 7000系列交换机虚拟多机技术是一种网络系 统虚拟化技术，将一台Cisco Nexus 7000系列交换机物理的 划分为多个实体主机，通过对硬件资源，如控制

18、引擎，交换 背板的物理划分，实现将一台Nexus 7000系列交换机划分为 多个虚拟实体，以实现不同业务在核心层的隔离，并且，当 Cisco Nexus 7000在满足数据中心本身的交换需求后，仍有 大量资源空闲时，可以将空闲资源划分出来另作他用，有效 的提高Cisco Nexus 7000做为网络核心的利用率，从而从侧 面提升Cisco Nexus 7000的性能价格比。1.7.1、CISCO 6509交换机VSS技术Cisco6500系列交换机虚拟交换系统（VSS） 1440是一种 网络系统虚拟化技术，将两台采用了 Virtual Switching Supervisor 720-10G

19、VSS 的 Cisco Catalyst 6500 系列交换机组 合为单一虚拟交换机。在VSS中，这两个交换机中的管理引 擎的数据面板和交换阵列能同时激活，因此总系统交换能力可达 1440GbpSoVSS成员通过虚拟交换机链路(VSL)连接。VSL在虚拟 交换机成员之间使用标准万兆以太网连接(多达8条，以提 供冗余性)。通过在 Virtual Switching Supervisor 720-10G 或 WS-X6708-10G模块的任意端口上使用万兆以太网上行链 路，即能形成VSL。除在VSS成员间进行控制面板通信外, VSL也能传输普通用户流量。VSS支持所有采用集中或分布式(利用DFC3

20、C或 DFC3CXL)转发模式的Cisco Catalyst 6500系列交换机。与传统的L2/L3网络设计相比，VSS 1440提供了多项显 著优势。大体说来，其优势可归纳为以下三个主要方面： VSS能够提高运营效率单管理点，包括配置文件和单一网关IP地址(无需HSRP/ VRRP/GLBP)多机箱EtherChannel (MEC)创建了简单的无环 路拓扑结构，不再依靠生成树协议(STP)底层物理交换机经由标准万兆以太网接口相连，在 位置方面提供了灵活的部署选项 VSS能够优化不间断通信机箱间状态化故障切换不会干扰需要使用网络状态 信息的应用。凭借VSS,在一个虚拟交换机成员发 生故障时，

21、不再需要进行L2/L3重收敛，能在一秒 内实现确定性虚拟交换机的恢复。与基于生成树协议的收敛不同，使用EtherChannel (801.3ad或PAgP)能在一秒内完成确定性L2链 路恢复。 VSS能够将系统带宽容量扩展到1.4 Tbps在冗余Cisco Catalyst 6500系列交换机上激活所有 可用的L2带宽，在EtherChannel基础上进行精确 的负载均衡。为冗余数据中心交换机上的服务器网络接口卡 (NIC)提供基于标准的链路汇聚，实现最高服务 器带宽吞吐率。消除了因非对称路由引起的单播洪泛，减少了园区 内流量的跳数，从而节省了带宽。1.7.2、FWSM虚拟化技术及应用与思科6

22、500交换机7600路由器结合，具有灵活的端口扩 展能力。7600路由器配置防火墙模块后可以将7600路由器 变成一台广域网防火墙。路由器上的所有端口均可以配置不 同的安全级别。强大的防火墙性能，在单台65系列交换机7600路由器上 可以插4块FWSM,每块FWSM的吞吐量为5.5Gbps,四块 合计 22 Gbpso每个防火墙模块可支持256个虚拟防火墙，为数据中心提 供了强大的灵活性。虚拟防火墙的资源可定制，每个虚拟防火墙占用的CPU、 Memory以及其最大连接数等资源可以根据需要来定制，极 大的增加了虚拟防火墙的安全性和可用性。支持高达256个801.1Q的VLAN,使大大增加了防火墙

23、 的使用灵活性。工作模式多样化，支持透明、路由、NAT、透明路由的混 合模式的工作模式。支持多台防火墙主机的集群，支持Active/Active模式以及 Standby 模式。支持丰富的QOS特性1.8、XXX公司中心网络IP地址设计（IP地址规划，根据具体项目，具体设计，一般初期仅做初步描述）苏宁电器IDC中心网络IP地址的设计，将根据现有的业 务系统进行统一的规划与设计，在实际允许的情况下兼容原 有IP地址，为日后割接提供准备的基础。1.9、XXX公司中心网络路由协议设计（路由设计，根据具 体项目具体设计，一般初期仅做初步描述）苏宁电器IDC中心网络路由协议建议使用OSPF协议与BGP协议

24、，OSPF协议做为其应用主协议，BGP协议则运行 在备份链路上，当主协议OSPF故障时，则由BGP协议替代, 以保证其网络的连通性，减少协议倒换的时间。1.10、XXX公司中心网络安全设计（此处为相应安全的设备及技术，根据具体项目不同编写）CISC06500及CISC07600防火墙模块Cisco6500交换机和Cisco 7600系列路由器的防火墙服务 模块（FWSM）是一种高速的、集成化的服务模块，可以提 供业界最快的防火墙数据传输速率：5Gb的吞吐量， 100000CPS,以及一百万个并发连接。在一个设备中最多可 以安装四个FWSM,因而每个设备最高可以提供20Gb的吞 吐量。作为世界领

25、先的Cisco PIX防火墙系列的一部分， FWSM可以为大型企业和服务供应商提供无以伦比的安全 性、可靠性和性能。FWSM采用了 Cisco PIX技术，并且运行Cisco PIX操作 系统（OS） _一一个实时的、牢固的嵌入式系统，可以消除安 全漏洞，防止各种可能导致性能降低的损耗。这个系统的核 心是一种基于自适应安全算法（ASA）的保护机制，它可以 提供面向连接的全状态防火墙功能。利用ASA, FWSM可以 根据源地址和目的地地址，随机的TCP序列号，端口号，以 及其他TCP标志，为一个会话流创建一个连接表条目。 FWSM可以通过对这些连接表条目实施安全策略，控制所有输入和输出的流量。

26、FWSM的主要优点防火墙的传统角色巳经发生了变化。今天的防火墙不仅可 以保护企业网络免受未经授权的外部接入的攻击，还可以防 止未经授权的用户接入企业网络的子网、工作组和LANFBI 的统计数据显示，70%的安全问题都来自于企业内部。在FBI 开展的调查中，五分之一的受访者表示，在过去12个月中, 有入侵者闯入或者试图闯入他们的企业网络。大部分专家都 认为，大多数网络入侵活动都没有被检测出来。集成模块FWSM安装在Cisco Catalyst 6500系列交换机或者Cisco 7600互联网路由器的内部，让这些设备的任何端口都可以充 当防火墙端口，并且在网络基础设施中集成了状态防火墙安 全。对于

27、那些机架空间非常有限的系统来说，这种功能非常 重要。Cisco Catalyst 6500真正成为了那些需要各种智能化 服务（例如防火墙接入、入侵检测、虚拟专用网（VPN） 和多层LAN、WAN和MAN交换功能的客户的首选IP服务 交换机。适应未来需要FWSM可以支持5Gb的吞吐量，因而可以提供无以伦比 的性能，让用户无须对系统进行彻底的升级，就可以满足未 来的要求。在Catalyst 6500中最多可以添加三个FWSM,以满足用户不断发展的需求。可靠性FWSM建立在Cisco PIX技术的基础之上，并使用了同一 个经过时间检验的Cisco PIX操作系统-一个安全的、实时的 操作系统。FWS

28、M可以利用行之有效的Cisco PIX技术检测 分组，从而可以在同一个平台上提供性能和安全的独特组 合。低廉的整体运营成本FWSM可以提供所有防火墙中最佳的性能价格比。Cisco Catalyst机型的SmartNet合同中包含了维护成本。由于 FWSM是基于Cisco PIX防火墙的，所以培训和管理成本都 很低，而且由于它是集成在设备内部的，所以大大减少了需 要管理的设备的数量。易用性Cisco PIX设备管理器的直观的图形化用户界面（GUI） 可以用于管理和配置FWSMo在配置和监控方面，FWSM可 以获得思科管理框架和Cisco AVVID （集成化语音、视频和 数据体系结构）合作伙伴的

29、支持。1.11、XXX公司中心网络QoS设计（QOS设计，根据实际情况设计，一般初期仅做初步描述）IP QoS （ Quality of Service ）是指IP网络的一种能力，即 在跨越多种底层网络技术（FR、ATM、Ethernet、SDH等） 的IP网络上，为特定的业务提供其所需要的服务。衡量IP QoS的技术指标包括：1）带宽/吞吐量一指网络的两个节点之间特定应用业务 流的平均速率；2）时延一指数据包在网络的两个节点之间传送的平均 往返时间；3）抖动一指时延的变化；4）丢包率一指在网络传输过程中丢失报文的百分比， 用来衡量网络正确转发用户数据的能力；5）可用性一指网络可以为用户提供服

30、务的时间的百分 比。本质上，要保证服务质量的最基本和最佳的手段是网络容 量的扩容，通过增加链路带宽来保证网络轻载，出于网络的 实际情况考虑，在有限的带宽前提下，在链路拥塞时，需要 保证不同等级业务的服务质量，因此，需要在设备上支持对 不同Qos等级的报文优先转发的队列调度机制。目前，QoS实现机制主要有两个：综合型业务（IntServ） 模型和区分型业务（Diffserv）模型。集成服务模型通过RSVP 协议针对每个业务流进行资源预留，提供端到端服务保证。 这种服务模型在应用使用之前，首先需要进行资源的预留， 针对每个流都要维护RSVP的软状态。这种服务模型的的优 点在于能够提供细粒度的、严格

31、的QoS服务，但是扩展性比 较差，路由器难以维护大量的软状态和控制流。由于集成服 务模型的缺点，现在集成服务模型己经很少使用，取而代之 的是下面重点介绍的差分服务模型。差分服务类型对不同的 流进行分类，对每个类提供不同的QoS服务。通过分类，维 护软状态以及控制流的开销大幅度缩小，可扩展性比较高。 它的缺点在于提供的服务是粗粒度的、不严格的QoS服务。综合考虑现有Qos技术，我们推荐苏宁电器IDC中心Qos 改造采用以DiffServ为主的QOS技术，采用DSCP和IP Precedence相兼容的标记方式。业务接入控制点设备实现业 务的分类、标记和带宽控制，城域网骨干路由器根据DSCP 等级

32、标记按优先顺序进行IP包的转发。1.12、XXX公司数据中心网络管理设计（根据项目使用网管工具编写）思科安全监控、分析和响应系统（思科安全MARS）是一 款基于设备的全功能解决方案，可提供针对您现有安全部署 的、前所未有的了解和控制能力。思科安全MARS是思科安 全管理生命周期的一个关键组件，可帮助您的安全和网络机 构识别、管理和抵御安全威胁。它可充分利用您现有的网络 和安全投资，来识别、隔离被攻击的组件和建议对其精确删 除的方式。它也有助于保持内部策略符合性，可作为整体法采用开放标准；采用开放技术；采用开放结构；采用开放系统组件；2）可靠原则设计结果稳定可靠，具有高MIBF （平均无故障时间

33、）和 MTBR （平均无故障率），采用开放用户接口。3）实用原则实用有效是最主要的设计目标，设计结果能满足需求行之 有效。提供容错设计，支持故障检测和恢复，可管理性强。4）安全原则安全措施有效可信，能够在多个层次上实现安全控制。5）先进原则设计思想先进；软硬件设备先进；网络结构先进。6）完整性原则考虑到系统的各方面因素，实现优化的网络设计、安全的 数据管理、高效的信息处理、友好的用户界面。7）高效原则性能指标高，软硬件性能充分发挥。8）灵活原则规符合性解决方案工具中一个不可缺少的部件。安全和网络管理员所面临的问题有：安全和网络信息过载性能不佳的攻击和故障识别、优先级划分和响应更高攻击先进程度、

34、速度和修复成本满足法规符合性和审查要求较少的安全人员和预算思科安全MARS可通过以下功能满足其需要：集成网络智能，进行网络异常事件和安全事件的先进 关联察看校正后的事件并自动执行调查通过全面充分利用网络和安全基础设施来防御攻击监控系统、网络和安全运行来帮助企业达到法规符合 性以最低TCO提供一个易于部署和使用的、可扩展的设 备思科安全MARS可将原始网络和安全数据转化为可操作 的智能特性，以提交正确有效的安全事件并保持法规符合 性。这一易于使用的威胁防御设备系列可利用己部署在您的 基础设施中的网络和安全设备，使操作员可集中、检测、防 御和报告重要威胁。深度防御问题信息安全已从互联网、周边防护发

35、展为深度防御模式，在 基础设施中部署了多项措施来抵御安全漏洞和攻击。鉴于攻 击频率日益增加、攻击复杂度各不相同，以及攻击非常迅速, 网络内部和周边间的界线逐渐模糊，因此这些措施是非常必 要的。为试图利用漏洞发动攻击，每天攻击者都会对网络接入点 和系统进行数千次探测。先进的混合攻击使用多种欺骗式攻 击方法，以便从机构内外获得未授权系统访问和控制。蠕虫、 零日攻击、病毒、特洛伊木马、间谍软件和攻击工具的普及 可对最为坚固的基础设施构成挑战一一导致防御作用时间 缩短、出现停运和昂贵的修复措施。除服务器和网络设备数量较多外，每个安全组件都提供独 立的事件记录和报警功能，以用于异常流量检测、威胁响应 和

36、分析。不幸的是，这就生成了大量的干扰、报警、日志文 件和误报，需操作员辨别或高效利用它们一一但这样的前提 是有足够的时间和资源来分析和了解这些信息。此外，法规 也要求严格数据保密、更高运营安全性和进行持续审查。先进的安全信息管理安全信息/事件管理(SIM)产品从逻辑上看来避免了这一 问题一一因为您无法对您不能测量出的信息加以管理。SIM 使操作员拥有了集中操作的能力：汇总安全事件和记录，通 过有限关联和查询技术来分析数据，并针对独立事件生成报警和报告。思科通过一个可扩展的企业威胁防御设备系列，解决了这 些安全问题，弥补了管理的不足。思科安全MARS提供了一 个易于部署和使用、经济有效、性能出众

37、的安全命令和控制 解决方案，对您的网络和安全基础设施投资构成补充。思科 安全MARS是一个性能出众的可扩展威胁防御设备系列，通 过结合网络智能、ContextCorrelationTM、S ureVectorTM 分析 和AutoMitigateTM功能，来使公司能作好准备，识别、管理 和消除网络攻击并保持法规符合性，从而增强已部署的网络 设备和安全措施。思科安全MARS的主要特性和优势网络智能事件汇总和性能处理思科安全MARS 了解路由器、交换机和防火墙的拓扑和 设备配置，以及网络流量配置，实现了网络智能。通过该系 统的集成网络发现功能，可构建一个包括设备配置和当前安 全策略的拓扑图，使思科

38、安全MARS能对您网络中的分组流 建模。因为此设备不在内部运行，极少使用现有软件代理， 所以对网络或系统性能的影响极小。这一设备集中汇总了来自各种常用网络设备（如路由器和 交换机）、安全设备和应用（如防火墙、入侵检测、漏洞扫 描器和防病毒软件）、主机（如 Windows Solaris和Linux 系统日志）、应用（如数据库、Web服务器和验证服务器）以及网络流量（如Cisco NetFlow）的日志和事件。ContextCorrelationTM在接收到事件和数据时，可针对网 络拓扑、所发现的设备配置、相同的源和目的地应用（跨 NAT边界）和类似的攻击类型，来对信息进行标准化。相似 的事件会

39、进行实时分组，随后对其运用由系统和用户定义的 关联规则，来识别事故。系统配备了全面的预定义规则， Protego会经常更新这些规则，它们能识别大多数混合攻击、 零日攻击和蠕虫。一个图形化规则定义框架简化了用户为任 何应用创建定制规则的过程。ContextCorrelation大大减少了 原始事件数据、实现了响应优先级划分并可最大限度地发挥 所部署的措施的作用。高性能汇总和整合。思科安全MARS解决方案可获取数 千个原始事件，高效地对事件分类，实现前所未有的数据减 少，并压缩这些信息以进行归档。管理大量安全事件需要一 个安全、稳定的集中记录平台。思科安全MARS设备可安全 地优化，接收极其大量的

40、事件流量每秒超过10000个事 件或每秒超过30万个NetFlow事件。通过即将荣获专利的 Protego内部处理逻辑和采用内嵌Oracle,这一切成为可能。 所有数据库功能和调整都对用户透明。板载存储并可将历史 数据档案持续压缩到NFS备用存储设备的功能，使思科安全 MARS成为一个强大的安全日志/事件汇总解决方案。事件查看和有效防御思科安全MARS有助于加速和简化威胁识别、调查、校 正和防御的过程。安全人员通常面临着所提交的事件需要耗 时的分析才能解决问题和进行修复的情况。思科安全MARS 具有一个功能强大的交互式安全管理控制台。操作员GUI 提供了一个由实时热点、事故、攻击路径和具体调查

41、组成的 拓扑图，可使用户完全了解事件一一立即确认有效威胁。S ureVectorTM分析事件进程等过程，通过评估直至终端 MAC地址的整个攻击路径，来确定威胁是否有效或是否已 进行了防御。这一自动过程是由分析防火墙和入侵防御应用 等设备记录、分析第三方漏洞评估数据，以及籍由思科安全 MARS终端扫描来消除误报而完成的。用户可快速、精确地 调整系统，来进一步减少误报。所有安全计划的最终目标是保持系统在线并正常运作一 一即防御安全违背、抑制事件并进行修复。凭借思科安全 MARS,操作员可迅速了解攻击中涉及的所有组件，这可具 体到受破坏的系统MAC地址。AutoMitigateTM功能可识别 攻击路

42、径上的阻塞点设备，并自动提供用户可用以防御威胁 的适当设备命令。通过充分利用基础设施，可快速、准确地 防御和抑制攻击。实时调查和法规符合性报告 思科安全MARS具有一个易于使用的分析框架，简化了传统的安全工作流程，在日常运作和特殊审查时实现了自动 的案例分配、调查、提交、通知和说明。它可图形化地重现 攻击并检索所存储的事件数据，来分析以前的事件。此系统 完全支持临时查询，可进行实时和持续数据采集。思科安全MARS提供大量的预定义报告，来满足运营需 要，有助于达到法规符合性要求，包括Sarbox、GLBA、 HTPPA、FISMA和Basel II。一个直观的报告生成器可以修 改80多种标准报告

43、或生成新报告，以一种无限制的方式， 用数据、趋势和图表格式构建安全措施和修复计划、事件和 网络活动、安全状态和审查，以及部门报告。此系统也能提 供批报告和电子邮件报告。迅速部署和可扩展管理思科安全MARS置于一个TCP/IP网络上，可发送和接收 系统日志、SNMP捕获，并通过标准安全协议或厂商特定协 议，与己部署的网络和安全设备建立安全连接。只需将其插 入网络即可。安装和部署思科安全MARS时无需其他硬件、 操作系统补丁、许可或冗长的专业服务部署过程。您只需配 置您的日志源，指向MARS设备，并通过基于Web的GUI 定义任意网络和数据源。该设备由一个安全、基于Web的界面集中管理，它支持 基

44、于角色的管理。可选思科安全MARS GC设备集中了广泛 的安全操作，可提供整个企业的单一视图，分发访问权限、 配置、更新、定制规则和报告模板，并将复杂的调查与本地 处理的加速查询和报告相结合。因为本地思科安全MARS设备可在整个企业中执行查询 和规则，因此能高效地获得整合结果，快速、集中地在思科 安全MARS GC中进行分析。这一可扩展架构提供了一个附 加的分布处理和存储层。因此可实现更为经济有效的部署和 更高可管理性，满足地理位置分散的大型机构的需求。:ni1.13、设备概述（此处为相应的设备描述，根据不同项目, 使用的不同设备描述）CISCO 7010核心交换机CSICO 7010是一款针

45、对大规模数据中心应用而设计的核 心交换机，它的吞吐量可以达到15TbpSo它目前可以支持 lOGbps的以太网，将来根据需要可以升级到支持 40Gbps/100Gbps以太网。它采用CSICONX-OS操作系统， 创新之处在于可以支持端到端的大规模数据中心连接。它最 大可以同时支持256个lOGbps以太网端口或384个 10/100/1000Mbps 以太网端口。1.13.1.1v CSICO NXOS 操作系统集合了 CSICO的大量创新的健壮、自愈、丰富的特征设 置。内核的模块化、虚拟性和弹性设置支持其强大灵活性和可升级性。支持IPv4和IPv6服务、路由和多播。全面的安全设置、高可用性

46、和管理性特征。1、优势支持基础设施的可升级性：(1) 系统支持的最大吞吐量可达15Tbps,为未来提供了 极大的升级空间。(2) 支持多核和多线程的操作系统可以将不同的任务分 配给不同的CPU核并行运算，达到优化CPU资源利用率。(3) CSICO的安全策略标准：链路层加密、安全组接入 控制链表、基于角色的接入控制。(4) 灵活的网络流量控制策略。传输的灵活性虚拟的控制界面和数据界面，可以最优化其性能。虚拟化设备管理可以最大化软件和硬件资源利用率，同时 提供强大的安全机制和软件错误隔离。可以支持未来的40Gbps和lOOGbps以太网标准。1、CSICO 7010模块组成:个7010包含10个

47、插槽，其中两个分配给监督控制模块，另外8个分配给以太网I/O模块。监督控制模块：基于双核处理器实现控制和管理功能；一 台7010最多包含2个该模块。48 端口 10/100/1000Mbps 以太网 I/O 模块：一台 7010 最 多包含8个该模块，即最多同时支持384个10/100/1000Mbps 以太网端口，同时每个端口都支持CSICO的安全策略标准。32端口 1 OGbps以太网I/O模块：一台7010最多包含8 个该模块，即最多同时支持256个1 OGbps以太网端口，同 时每个端口都支持CSICO的安全策略标准。用于插槽间连接的光纤模块：提供I/O模块之间、监督控 制模块之间以及I/O模块和监督控制模块之间的并行光纤通 道。最多同时允许五个同步光纤模块为每个插槽提供高达 230Gbps吞吐量。安全性允许进入控制：对网络设备和终端使用拓扑独立的支持 801.lx的鉴定与授权机制。保密性与完整性设置：当网络中加入网络设备，如防火墙 和负载均衡等时，通过使用链路层801.1AE的加密技术提供 数据保密和可靠性。访问控制：通过使用A