智慧教育城域網(wǎng)絡(luò)安全設(shè)計(jì)方案

1、智慧教育城域網(wǎng)絡(luò)安全設(shè)計(jì)方案1 .建設(shè)目標(biāo)31.1 設(shè)計(jì)原則與思路31.2 本次設(shè)計(jì)目標(biāo)52 .總體方案設(shè)計(jì)描述52.1 方案拓?fù)鋱D52.2 架構(gòu)描述62.3 功能描述62.4 層次描述73 .功能技術(shù)介紹83.1 1防火墻的三種模式83.2 NAT技術(shù)93.3 融合業(yè)務(wù)插卡優(yōu)勢1.1.4 .網(wǎng)絡(luò)部署124.1 IP地址規(guī)劃1.34.2 VLAN設(shè)計(jì)1.4.4.3 QOS部署1.5.5 .網(wǎng)絡(luò)管理211 .建設(shè)目標(biāo)1.1 設(shè)計(jì)原則與思路城域網(wǎng)及云資源（數(shù)據(jù)）中心的建設(shè)原則是能夠高效、安全、綠色的支撐應(yīng)用系統(tǒng)的使用，相比傳統(tǒng)城域網(wǎng)建設(shè)，體現(xiàn)在幾個(gè)層面的變化：1、數(shù)據(jù)中心的形成：相比傳統(tǒng)服務(wù)器部署

2、而言，資源中心的建設(shè)要求有統(tǒng)一的數(shù)據(jù)中心來承載兩大平臺的運(yùn)行。2、虛擬化的使用：為了整合資源中心的硬件資源，會大量使用虛擬化技術(shù)來建設(shè)彈性的資源池；3、應(yīng)用類型對網(wǎng)絡(luò)帶寬的消耗：應(yīng)用的規(guī)劃以動(dòng)畫、視頻、互動(dòng)等大流量應(yīng)用為主，相比傳統(tǒng)網(wǎng)絡(luò)帶寬要求提升1020倍；4、用戶規(guī)模的劇增：資源的使用者增加了學(xué)生，相比傳統(tǒng)只有老師使用的環(huán)境，用戶規(guī)模增加了1020倍；5、流量模型的變化：原來的流量訪問模型為本局域網(wǎng)內(nèi)部橫向?yàn)橹?，資源中心建成后用戶的訪問模型以學(xué)校訪問資源中心的流量為主，基本上為縱向流量；6、允許斷網(wǎng)時(shí)間的變化：教學(xué)系統(tǒng)上網(wǎng)意味著對網(wǎng)絡(luò)可靠性的要求提高，允許斷網(wǎng)時(shí)間應(yīng)該控制在分鐘級別；所以在

3、城域網(wǎng)和資源中心的設(shè)計(jì)上需要遵循以下原則：高性能一一骨干網(wǎng)絡(luò)性能是整個(gè)網(wǎng)絡(luò)良好運(yùn)行的基礎(chǔ)，設(shè)計(jì)中必須保障網(wǎng)絡(luò)及設(shè)備的高吞吐能力，保證各種信息（視頻、動(dòng)畫、應(yīng)用）的高質(zhì)量傳輸，才能使網(wǎng)絡(luò)不成為業(yè)務(wù)開展的瓶頸。高可靠性一一網(wǎng)絡(luò)系統(tǒng)的穩(wěn)定可靠是應(yīng)用系統(tǒng)正常運(yùn)行的關(guān)鍵保證，在網(wǎng)絡(luò)設(shè)計(jì)中選用高可靠性網(wǎng)絡(luò)產(chǎn)品，設(shè)備充分考慮冗余、容錯(cuò)能力；合理設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)，制訂可靠的網(wǎng)絡(luò)備份策略，保證網(wǎng)絡(luò)具有故障自愈的能力，最大限度地支持系統(tǒng)的正常運(yùn)行。網(wǎng)絡(luò)設(shè)備在出現(xiàn)故障時(shí)應(yīng)便于診斷和排除，充分體現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)的高可靠性。安全性一一制訂統(tǒng)一的網(wǎng)絡(luò)安全策略，整體考慮網(wǎng)絡(luò)平臺的安全性，保證師生能夠安全、綠色的使用資源，且安全性必

4、須采用云安全技術(shù)，能夠適應(yīng)云計(jì)算資源動(dòng)態(tài)調(diào)配的需求。獨(dú)立性一一學(xué)校與教育局之間采用公網(wǎng)連接會導(dǎo)致一些應(yīng)用系統(tǒng)的不可用（比如名師講堂、雙向教學(xué)等），而且公網(wǎng)連接也使得網(wǎng)絡(luò)不安全、不可控等隱患，所以教育局與學(xué)校之間應(yīng)該采用裸光纖或者VPN方式連接；六區(qū)教育城域網(wǎng)建議采用裸光纖連接。技術(shù)先進(jìn)性和實(shí)用性一一在保證滿足校園業(yè)務(wù)、應(yīng)用系統(tǒng)業(yè)務(wù)的同時(shí)，要體現(xiàn)出網(wǎng)絡(luò)系統(tǒng)的先進(jìn)性。在網(wǎng)絡(luò)設(shè)計(jì)中要把先進(jìn)的技術(shù)與現(xiàn)有的成熟技術(shù)和標(biāo)準(zhǔn)結(jié)合起來，充分考慮網(wǎng)絡(luò)應(yīng)用的現(xiàn)狀和未來發(fā)展趨勢。標(biāo)準(zhǔn)開放性一一支持國際上通用的網(wǎng)絡(luò)協(xié)議、路由協(xié)議等開放的協(xié)議標(biāo)準(zhǔn)，有利于保證與其它網(wǎng)絡(luò)（如中國教育網(wǎng)、公共數(shù)據(jù)網(wǎng)、學(xué)校之間等其它網(wǎng)絡(luò)）之間

5、的平滑連接互通，以及將來網(wǎng)絡(luò)的擴(kuò)展。靈活性及可擴(kuò)展性一一根據(jù)未來業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級，最大程度的減少對網(wǎng)絡(luò)架構(gòu)和現(xiàn)有設(shè)備的調(diào)整?？晒芾硇砸灰粚W(wǎng)絡(luò)實(shí)行集中監(jiān)測、分權(quán)管理，并統(tǒng)一分配帶寬資源。選用先進(jìn)的網(wǎng)絡(luò)管理平臺，具有對設(shè)備、端口等的管理、流量統(tǒng)計(jì)分析，及可提供故障自動(dòng)報(bào)警。強(qiáng)QOS、強(qiáng)組播特性一一城域網(wǎng)因?yàn)閷σ曨l、音頻等多媒體業(yè)務(wù)的需求較大，所以整個(gè)網(wǎng)絡(luò)具有較完善的QOS特性對教育網(wǎng)而言就顯得尤為重要。能不能對關(guān)鍵業(yè)務(wù)進(jìn)行帶寬優(yōu)先保證尤其是那些對時(shí)延敏感的業(yè)務(wù)進(jìn)行保證是教育網(wǎng)必須考慮的一個(gè)重點(diǎn)，為實(shí)現(xiàn)區(qū)別服務(wù)，整網(wǎng)端到端的QOS特性機(jī)制是優(yōu)質(zhì)網(wǎng)絡(luò)業(yè)務(wù)的保證。另外組播特性

6、對于有效的保證多媒體流傳輸性能和節(jié)省帶寬也有非常重要的意義，基于組播的控制特性也會進(jìn)一步保證組播流的控制、管理和安全，從而為實(shí)現(xiàn)教育城域網(wǎng)的多業(yè)務(wù)支持提供保障。兼容性和經(jīng)濟(jì)性一一兼容性，能夠最大限度地保證學(xué)?，F(xiàn)有各種計(jì)算機(jī)軟、硬件資源的可用性和連續(xù)性，為不同的現(xiàn)存網(wǎng)絡(luò)提供互聯(lián)和升級的手段（如現(xiàn)有的雙向教學(xué)系統(tǒng)），保證各種在用計(jì)算機(jī)系統(tǒng)（包括工作站、服務(wù)器和微機(jī)等設(shè)備）的互連入網(wǎng)，充分利用現(xiàn)有網(wǎng)絡(luò)資源，發(fā)揮主干網(wǎng)的優(yōu)勢。經(jīng)濟(jì)性，就是在充分利用現(xiàn)有資源的情況下，最大限度地降低網(wǎng)絡(luò)系統(tǒng)的總體投資，有計(jì)劃、有步驟地實(shí)施，在保證網(wǎng)絡(luò)整體性能的前提下，充分利用現(xiàn)有設(shè)備或做必要的升級。1.2 本次設(shè)計(jì)目標(biāo)本

7、次設(shè)計(jì)目標(biāo)是在原有的學(xué)校和區(qū)教育網(wǎng)絡(luò)基礎(chǔ)上通過在區(qū)教委網(wǎng)絡(luò)核心增加一臺S10500核心交換機(jī)和在學(xué)校出口增加一臺下一代防火墻F10X0來實(shí)現(xiàn)學(xué)校的數(shù)據(jù)中心與區(qū)教委的數(shù)據(jù)中心一個(gè)網(wǎng)絡(luò)大二層互聯(lián)的需求，而此時(shí)學(xué)校的局域網(wǎng)也能正常訪問公網(wǎng)以及通過新增F10X0防火墻訪問學(xué)校自己的數(shù)據(jù)中心。2 .總體方案設(shè)計(jì)描述2.1 方案拓?fù)鋱D根據(jù)實(shí)際環(huán)境進(jìn)行網(wǎng)絡(luò)拓?fù)湟?guī)劃如下圖拓?fù)鋱D區(qū)欺官出口茹才培區(qū)教委校園NJK野濤生入交接機(jī)IPS怩卡校是業(yè)務(wù)區(qū)防火慟防冊即繇蕊技指心學(xué)安中校屋字局屬巾3nM2.2 架構(gòu)描述從2.1中的方案拓?fù)鋱D中可以看出，本次網(wǎng)絡(luò)建設(shè)分為兩個(gè)大區(qū)分別是區(qū)教委的網(wǎng)絡(luò)建設(shè)以及區(qū)教委下的各學(xué)校網(wǎng)絡(luò)建設(shè)

8、。區(qū)教委的核心增加一臺S10500系列交換機(jī)，內(nèi)部連接區(qū)教委的數(shù)據(jù)中心，外部通過專線連接下級各學(xué)校網(wǎng)防火墻2。學(xué)校網(wǎng)內(nèi)部紅色區(qū)域是各學(xué)校的數(shù)據(jù)中心，黃色區(qū)域是各學(xué)校的局域網(wǎng)，出口處有2臺防火墻，防火墻1是原學(xué)校出口可外連互聯(lián)網(wǎng)，新增F10X0（防火墻2）通過專線連接區(qū)教委。2.3 功能描述1、區(qū)教委數(shù)據(jù)中心和各學(xué)校數(shù)據(jù)中心實(shí)現(xiàn)大二層互聯(lián)本次設(shè)計(jì)要求區(qū)教委的數(shù)據(jù)中心要和各學(xué)校的數(shù)據(jù)中心能夠互連實(shí)現(xiàn)兩個(gè)數(shù)據(jù)中心的大二層設(shè)計(jì)，所謂大二層網(wǎng)絡(luò)設(shè)計(jì)就是指區(qū)教委的數(shù)據(jù)中心所在vlan和各學(xué)校的數(shù)據(jù)中心所在vlan同是區(qū)教委的核心交換機(jī)S10500的一個(gè)vlan下。即S10500交換機(jī)連接區(qū)教委數(shù)據(jù)中心的端

9、口與連接各學(xué)校防火墻2的端口在同一個(gè)vlan中。此時(shí)在學(xué)校的防火墻2即新加防火墻F10X0的端口e1e2之間還需要運(yùn)行在二層透明模式下。此時(shí)區(qū)教委數(shù)據(jù)中心和各學(xué)校數(shù)據(jù)中心就是一個(gè)大二層的網(wǎng)絡(luò)架構(gòu)，此種網(wǎng)絡(luò)架構(gòu)有利于兩個(gè)數(shù)據(jù)中心之間的虛擬機(jī)動(dòng)態(tài)遷移以及資源擴(kuò)展，動(dòng)態(tài)備份等。2、學(xué)校局域網(wǎng)和公網(wǎng)（internet）以及學(xué)校數(shù)據(jù)中心的互訪每個(gè)學(xué)校的局域網(wǎng)為一個(gè)獨(dú)立VLAN,學(xué)校1為VLAN1,學(xué)校2為VLAN2，學(xué)校局域網(wǎng)的網(wǎng)關(guān)有兩個(gè)防火墻，防火墻1（學(xué)校原防火墻）和防火墻2（新增的F10X0防火墻），在局域網(wǎng)的核心交換機(jī)上通過做策略路由使得訪問公網(wǎng)的數(shù)據(jù)流都走防火墻1,訪問學(xué)校數(shù)據(jù)中心的數(shù)據(jù)流都走

10、防火墻F10X0,此時(shí)防火墻F10X0e0e2端口之間走路由模式。即學(xué)校局域網(wǎng)和學(xué)校數(shù)據(jù)中心之間正常的使用三層IP地址互訪。學(xué)校走防火墻1訪問公網(wǎng)因特網(wǎng)，此時(shí)還需要在原有的防火墻1上做NAT地址轉(zhuǎn)換技術(shù)使得能訪問公網(wǎng)。2.4 層次描述出口安全：區(qū)云資源（數(shù)據(jù)）中心出口必須考慮安全建設(shè)，用高性能下一代防火墻安全網(wǎng)關(guān)，實(shí)現(xiàn)防火墻及流量控制等安全防護(hù)功能。為了應(yīng)對云計(jì)算環(huán)境下的流量模型變化，安全防護(hù)體系的部署需要朝著高性能的方向調(diào)整。在本次項(xiàng)目的建設(shè)過程中，多條高速鏈路匯聚成的大流量已經(jīng)比較普遍，在這種情況下，安全設(shè)備必然要具備對性能得業(yè)務(wù)處理能力；無論是獨(dú)立的機(jī)架式安全設(shè)備；同時(shí)，考慮到云計(jì)算環(huán)境

11、的業(yè)務(wù)永續(xù)性，設(shè)備的部署必須要考慮到高可靠性的支持，諸如雙機(jī)熱備、配置同步、電源風(fēng)扇的冗余、鏈路捆綁聚合、硬件BYPASS等特性，真正實(shí)現(xiàn)大流量匯聚情況下的基礎(chǔ)安全防護(hù)。核心交換機(jī)：城域網(wǎng)的核心層部分采用“兩網(wǎng)一核心”的建設(shè)思路：城域網(wǎng)和數(shù)據(jù)中心共用一套網(wǎng)絡(luò)核心，通過1:N虛擬化技術(shù)將數(shù)據(jù)中心的核心交換機(jī)虛擬成2套設(shè)備，一套作為數(shù)據(jù)中心的網(wǎng)絡(luò)核心，一套作為城域網(wǎng)的網(wǎng)絡(luò)核心。兩套設(shè)備擁有的獨(dú)立的CPU、內(nèi)存和路由表象等資源，避免了共用核心導(dǎo)致的設(shè)備性能問題和網(wǎng)絡(luò)安全問題。兩網(wǎng)一核心的建設(shè)模式即節(jié)約了投資，提高了設(shè)備的利用率，又保證了網(wǎng)絡(luò)的可靠性在主核心機(jī)房為整網(wǎng)選配兩臺高性能CLOS架構(gòu)機(jī)箱式交

12、換機(jī)，通過虛擬化技術(shù)進(jìn)行虛擬化融合。負(fù)責(zé)整個(gè)教育城域網(wǎng)平臺上應(yīng)用業(yè)務(wù)數(shù)據(jù)的高速交換，核心交換機(jī)配備冗余電源及引擎保證網(wǎng)絡(luò)健壯性與可靠性。本次設(shè)計(jì)不設(shè)計(jì)匯聚層和接入層所以不做介紹。3 .功能技術(shù)介紹3 .1防火墻的三種模式本次方案設(shè)計(jì)中要求區(qū)教委的數(shù)據(jù)中心和學(xué)校的數(shù)據(jù)中心能夠?qū)崿F(xiàn)大二層的這種網(wǎng)絡(luò)架構(gòu)，即在防火墻上要求e1e2走二層透明模式，這就是求防火墻的二層透明模式。每個(gè)學(xué)校的局域網(wǎng)為一個(gè)獨(dú)立VLAN,學(xué)校1為VLAN1,學(xué)校2為VLAN2，學(xué)校局域網(wǎng)的網(wǎng)關(guān)在防火墻的e0接口，這要求e0e2走路由模式。每個(gè)學(xué)校有一個(gè)獨(dú)立因特網(wǎng)出口，供學(xué)校內(nèi)部終端上網(wǎng)使用，為防火墻的e3接口，需要上網(wǎng)的流量，即

13、e0e3走策略路由+NAT模式。下面就介紹一下防火墻的幾種模式。透明模式透明模式，顧名思義，首要的特點(diǎn)就是對用戶是透明的(Transparent),即用戶意識不到防火墻的存在。要想實(shí)現(xiàn)透明模式，防火墻必須在沒有IP地址的情況下工作，不需要對其設(shè)置IP地址，用戶也不知道防火墻的IP地址。防火墻作為一實(shí)際存在的物理設(shè)備，其本身也起到路由的作用，所以在為用戶安裝防火墻時(shí)，就需要考慮如何改動(dòng)其原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)或修改連接防火墻的路由表，以適應(yīng)用戶的實(shí)際需要，這樣就增加了工作的復(fù)雜程度和難度。但如果防火墻采用了透明模式，即采用無IP方式運(yùn)行，用戶將不必重新設(shè)定和修改路由，防火墻就可以直接安裝和放置到網(wǎng)絡(luò)

14、中使用，如交換機(jī)一樣不需要設(shè)置IP地址，基于目的MAC地址轉(zhuǎn)發(fā)以太網(wǎng)幀路由模式當(dāng)防火墻位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間時(shí)，需要將防火墻與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)以及DMZ三個(gè)區(qū)域相連的接口分別配置成不同網(wǎng)段的IP地址，重新規(guī)劃原有的網(wǎng)絡(luò)拓?fù)?，此時(shí)相當(dāng)于一臺路由器。采用路由模式時(shí)，可以完成ACL包過濾、ASPF動(dòng)態(tài)過濾、NAT轉(zhuǎn)換等功能。然而，路由模式需要對網(wǎng)絡(luò)拓?fù)溥M(jìn)行修改（內(nèi)部網(wǎng)絡(luò)用戶需要更改網(wǎng)關(guān)、路由器需要更改路由配置等），這是一件相當(dāng)費(fèi)事的工作，因此在使用該模式時(shí)需權(quán)衡利弊?；旌夏Ｊ饺绻阑饓却嬖诠ぷ髟诼酚赡Ｊ降慕涌冢ń涌诰哂蠭P地址），又存在工作在透明模式的接口（接口無IP地址），則防火墻工作在混

15、合模式下?；旌夏Ｊ街饕糜谕该髂Ｊ阶麟p機(jī)備份的情況，此時(shí)啟動(dòng)VRRP（VirtualRouterRedundancyProtocol,虛擬路由冗余協(xié)議）功能的接口需要配置IP地址，其它接口不配置IP地址。防火墻工作在混合透明模式下，此時(shí)部分接口配置IP地址，部分接口不能配置IP地址。配置IP地址的接口所在的安全區(qū)域是三層區(qū)域，接口上啟動(dòng)VRRP功能，用于雙機(jī)熱備份；而未配置IP地址的接口所在的安全區(qū)域是二層區(qū)域，和二層區(qū)域相關(guān)接口連接的外部用戶同屬一個(gè)子網(wǎng)。當(dāng)報(bào)文在二層區(qū)域的接口間進(jìn)行轉(zhuǎn)發(fā)時(shí)，轉(zhuǎn)發(fā)過程與透明模式的工作過程完全相同。4 .2NAT技術(shù)NAT（NetworkAddressTrans

16、lation,網(wǎng)絡(luò)地址轉(zhuǎn)換）是1994年提出的。當(dāng)在專用網(wǎng)內(nèi)部的一些主機(jī)本來已經(jīng)分配到了本地IP地址（即僅在本專用網(wǎng)內(nèi)使用的專用地址），但現(xiàn)在又想和因特網(wǎng)上的主機(jī)通信（并不需要加密）時(shí)，可使用NAT方法。這種方法需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器，它至少有一個(gè)有效的外部全球IP地址。這樣，所有使用本地地址的主機(jī)在和外界通信時(shí)，都要在NAT路由器上將其本地地址轉(zhuǎn)換成全球IP地址，才能和因特網(wǎng)連接。另外，這種通過使用少量的公有IP地址代表較多的私有IP地址的方式，將有助于減緩可用的IP地址空間的枯竭。在RFC1632中有對NAT的說明。NAT功

17、能NAT不僅能角!決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)。1 .寬帶分享：這是NAT主機(jī)的最大功能。2 .安全防護(hù)：NAT之內(nèi)的PC聯(lián)機(jī)到Internet上面時(shí)，他所顯示的IP是NAT主機(jī)的公共IP,所以Client端的PC當(dāng)然就具有一定程度的安全了，外界在進(jìn)行portscan(端口掃描)的時(shí)候，就偵測不到源Client端的PC。NAT的實(shí)現(xiàn)方式NAT的實(shí)現(xiàn)方式有三種，即靜態(tài)轉(zhuǎn)換StaticNat、動(dòng)態(tài)轉(zhuǎn)換DynamicNat和端口多路復(fù)用OverLoad。靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不

18、變的，某個(gè)私有IP地址只轉(zhuǎn)換為某個(gè)公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實(shí)現(xiàn)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)中某些特定設(shè)備(如服務(wù)器)的訪問。動(dòng)態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公用IP地址時(shí)，IP地址是不確定的，是隨機(jī)的，所有被授權(quán)訪問上Internet的私有IP地址可隨機(jī)轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài)轉(zhuǎn)換。動(dòng)態(tài)轉(zhuǎn)換可以使用多個(gè)合法外部地址集。當(dāng)ISP提供的合法IP地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)?？梢圆捎脛?dòng)態(tài)轉(zhuǎn)換的方式。端口多路復(fù)用(PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端

19、口并進(jìn)行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換(PAT,PortAddressTranslation).采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部IP地址實(shí)現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時(shí)，又可隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自internet的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是端口多路復(fù)用方式。103.3融合業(yè)務(wù)插卡優(yōu)勢本次項(xiàng)目的核心交換機(jī)部署了FW防火墻管理插卡，F(xiàn)W防火墻插卡的部署帶來了如下好處：高可靠性：降低單點(diǎn)故障一、在設(shè)備內(nèi)部，基于交換機(jī)的無阻塞技術(shù)，各種插卡通過背板總線進(jìn)行數(shù)據(jù)交換。任何一塊插卡出現(xiàn)故障，可以通過Bypass方式使得流量

20、自動(dòng)繞過故障插卡，保證業(yè)務(wù)流正常處理和轉(zhuǎn)發(fā)，不會出現(xiàn)單點(diǎn)故障。二、插卡式設(shè)備，所有的關(guān)鍵部件都可以冗余部署。單獨(dú)的盒式設(shè)備，一般最多提供雙電源的可靠性設(shè)計(jì)。而插卡式設(shè)備，包括電源、引擎、接口板、業(yè)務(wù)板等都可以冗余部署，大大提高了可靠性。當(dāng)所有的關(guān)鍵部件都進(jìn)行冗余部署的時(shí)候，實(shí)際上就是兩臺設(shè)備在同時(shí)工作，并可以進(jìn)行負(fù)載分擔(dān)。三、所有的插卡都支持熱插拔，大大降低出現(xiàn)故障時(shí)更換設(shè)備的時(shí)間。高性能和高擴(kuò)展性：減少業(yè)務(wù)瓶頸一、高性能：所有的業(yè)務(wù)模塊都采用了業(yè)界最領(lǐng)先的多核多線程CPU+ASIC+FPGA的高性能、分布式硬件架構(gòu)。這種分布式的硬件架構(gòu)保證了所有的業(yè)務(wù)能在第一時(shí)間并行處理。對于現(xiàn)在大量的應(yīng)用

21、層安全攻擊，由于需要進(jìn)行深入的報(bào)文分析，只有這種多核多線程的硬件架構(gòu)才能真正做到實(shí)時(shí)處理，不會產(chǎn)生大的數(shù)據(jù)延遲。二、高轉(zhuǎn)發(fā)：所有的業(yè)務(wù)模塊與交換機(jī)及其他插卡之間都是通過交換機(jī)Crossbar總線進(jìn)行數(shù)據(jù)傳輸，數(shù)據(jù)帶寬高達(dá)40Gbps以上。相對于盒式設(shè)備之間通常采用的網(wǎng)線連接方式，數(shù)據(jù)帶寬更高、延時(shí)更低，而且可靠性更高，不會出現(xiàn)由于網(wǎng)線故障或連接故障導(dǎo)致的業(yè)務(wù)中斷。三、盒式設(shè)備性能一般是固定的，但是插卡式設(shè)備的處理能力可以通過板卡的擴(kuò)展進(jìn)行數(shù)倍的提升。即使是單塊的業(yè)務(wù)板，得益于其先進(jìn)的多核架構(gòu)，其性能優(yōu)勢也很明顯。四、接口多：普通盒式設(shè)備一般最多提供幾個(gè)接口，而插卡式設(shè)備的接口板可提11供無限制

22、的接口，并且可根據(jù)要求進(jìn)行擴(kuò)展，所有接口的VLAN都可以共享各種業(yè)務(wù)板卡。同時(shí)，通過虛擬化技術(shù)，可以將同一塊物理業(yè)務(wù)板卡在邏輯上劃分為相互獨(dú)立的多個(gè)板卡，每個(gè)邏輯板卡擁有完全獨(dú)立的資源和策略。五、接口種類豐富：普通盒式設(shè)備，只能提供普通的以太網(wǎng)電口和光口。而基于交換機(jī)和路由器的插卡，還可以提供各種POS接口、ATM接口、E1/T1口等接口類型。六、組網(wǎng)簡單：采用插卡式設(shè)備，只需在交換機(jī)中插入所需模塊，相對盒式設(shè)備來說不會占用空間。且所有插卡都集成在一臺交換機(jī)中，數(shù)據(jù)交換通過背板總線實(shí)現(xiàn)，組網(wǎng)更加簡單，不像盒式設(shè)備，各個(gè)設(shè)備之間都要通過復(fù)雜的網(wǎng)線進(jìn)行連接。管理簡單每個(gè)插卡可以通過WEB界面進(jìn)行獨(dú)

23、立管理，也可以由交換機(jī)與其他業(yè)務(wù)板一樣進(jìn)行統(tǒng)一管理。不同插卡的狀態(tài)可以基于主控板統(tǒng)一顯示，通過主控板實(shí)現(xiàn)對插卡的統(tǒng)一管理。成本投入低一、得利于良好的擴(kuò)展性，在對接口、功能、性能等進(jìn)行升級的時(shí)候，在升級標(biāo)準(zhǔn)相同的條件下，再次投入的成本大幅降低，原有的投資也能得到保障。二、直接在交換機(jī)中增加板卡模塊，即可實(shí)現(xiàn)交換機(jī)應(yīng)用層安全防護(hù)功能的擴(kuò)展。通過與交換機(jī)共用管理平臺，降低了管理難度。并且交換機(jī)的任何端口都可以作為業(yè)務(wù)插卡的端口使用，從而降低用戶首次和后續(xù)擴(kuò)容的投入成本。三、能夠?yàn)榫W(wǎng)絡(luò)提供整體的安全防護(hù)，保護(hù)外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的攻擊、也能夠保護(hù)內(nèi)部業(yè)務(wù)終端對服務(wù)器的攻擊，而使用傳統(tǒng)的獨(dú)立安全設(shè)備需要部

24、署多臺4.網(wǎng)絡(luò)部署網(wǎng)絡(luò)部署設(shè)計(jì)主要包括IP地址規(guī)劃、VLAN設(shè)計(jì)以及QoS技術(shù)部署。124.1 IP地址規(guī)劃ip地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，網(wǎng)絡(luò)系統(tǒng)為了實(shí)現(xiàn)對網(wǎng)絡(luò)的統(tǒng)一的規(guī)劃和管理，對IP地址進(jìn)行統(tǒng)一規(guī)劃。IP地址規(guī)劃影響到網(wǎng)絡(luò)路由協(xié)議算法的效率、影響到網(wǎng)絡(luò)的性能、擴(kuò)展和網(wǎng)絡(luò)的管理，也影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址主要分為如下幾類：IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂

25、速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要遵循以下原則：唯一性：一個(gè)ip網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的ip地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表項(xiàng)；連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率；建議根據(jù)部門和權(quán)限劃分，為不同的業(yè)務(wù)分配一段連續(xù)的ip地址，便于業(yè)務(wù)的區(qū)分。13可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址的連續(xù)性；靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間。設(shè)備Loopback地址的分配：各種三層設(shè)備的Loopback地址的使用，在不同的方面都需

26、要它的參與，對于內(nèi)部路由協(xié)議的正常運(yùn)行，整個(gè)網(wǎng)絡(luò)的正常運(yùn)行，有著至關(guān)重要的作用。因而對于各個(gè)路由器設(shè)備的Loopback的分配和管理，應(yīng)當(dāng)采取統(tǒng)一的專有地址空間。通過為所有的設(shè)備分配一個(gè)專有的地址空間，能夠更為有效地進(jìn)行路由器設(shè)備的路由配置和管理，以及方便今后的故障的診斷和排除。Loopback地址分配采用32位掩碼的原則。設(shè)備間互連地址的分配：設(shè)備間互連的IP地址，從業(yè)務(wù)的相關(guān)性上，他們一般不具有全局的功能，而只是提供完成兩個(gè)設(shè)備之間的連接。因而從這個(gè)角度上講，這部分的地址空間的分配應(yīng)當(dāng)考慮以下的方面：(1)盡可能以分層次的方式分配地址。由于鏈路地址空間不具有全局性，因而并不需要在全網(wǎng)范圍內(nèi)為每個(gè)鏈路保持精確路由。而采取分層次的地址分配方式，能夠?qū)㈡溌返刂分鸺墔R總，從而使得這些地址在各路由器的路由表中占有較少的空間。以降低對路由器的要求，并保證路由器的處理效率。(2)提供足夠的預(yù)留空間，以滿