交換防火墻網(wǎng)絡(luò)方案

/某企業(yè)交換機(jī)防火墻網(wǎng)絡(luò)平安建設(shè)技術(shù)方案北京麥弗瑞科技有限公司書目1 綜述 31.1 網(wǎng)絡(luò)設(shè)計原則 32 企業(yè)網(wǎng)業(yè)務(wù)需求分析 42.1 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計 52.2 防火墻系統(tǒng)部署方案 52.3 交換機(jī)接入 63 Juniper的企業(yè)網(wǎng)結(jié)構(gòu)設(shè)計 73.1 網(wǎng)絡(luò)拓?fù)鋱D 74 企業(yè)網(wǎng)選用設(shè)備 74.1 JuniperEX系列交換機(jī) 74.2 防火墻SRX系列 94.3 J系列路由器 10綜述本方案是依據(jù)貴公司提出的建網(wǎng)要求，而出的技術(shù)實施方案。本方案將以貴公司要求為依據(jù)，結(jié)合市場需求和現(xiàn)有條件，并以高速、高帶寬、高牢靠性、技術(shù)先進(jìn)、簡潔好用、節(jié)約投資為網(wǎng)絡(luò)的建設(shè)原則，建設(shè)一個先進(jìn)的、具有高牢靠性的綜合業(yè)務(wù)數(shù)據(jù)網(wǎng)絡(luò)。網(wǎng)絡(luò)設(shè)計原則交換網(wǎng)絡(luò)作為方正縣人民政府網(wǎng)絡(luò)重要組成部分，建設(shè)目標(biāo)應(yīng)當(dāng)致力于能夠供應(yīng)一個敏捷、先進(jìn)和牢靠的多業(yè)務(wù)平臺，為網(wǎng)絡(luò)進(jìn)一步承載更多業(yè)務(wù)，建立自動化全網(wǎng)絡(luò)的業(yè)務(wù)，降低企業(yè)運作成本。我們在進(jìn)行網(wǎng)絡(luò)設(shè)計時，應(yīng)著重考慮如下幾點：網(wǎng)絡(luò)的牢靠性網(wǎng)絡(luò)的牢靠性是網(wǎng)絡(luò)設(shè)計中須要考慮的一個主要原則。在網(wǎng)絡(luò)設(shè)計時，應(yīng)避開網(wǎng)絡(luò)中出現(xiàn)單故障點，并應(yīng)當(dāng)考慮在出現(xiàn)故障時的網(wǎng)絡(luò)性能，通過網(wǎng)絡(luò)設(shè)計削減故障對網(wǎng)絡(luò)性能的影響。流量的合理安排由于企業(yè)網(wǎng)絡(luò)的重要性，在網(wǎng)絡(luò)的各個層面須要部署冗余的設(shè)備和鏈路，在網(wǎng)絡(luò)中流量出入會存在多條可達(dá)的路徑，隨著企業(yè)網(wǎng)絡(luò)流量的不斷增長，不合理的流量設(shè)計會造成網(wǎng)絡(luò)瓶頸的出現(xiàn)。因此，網(wǎng)絡(luò)流量的負(fù)載分擔(dān)問題成為網(wǎng)絡(luò)設(shè)計時須要考慮的一個主要因素，必需使網(wǎng)絡(luò)的流量能夠比較合理的分布在各個設(shè)備以及各條鏈路上。網(wǎng)絡(luò)的性能企業(yè)網(wǎng)一般會成為承載多種業(yè)務(wù)的統(tǒng)一網(wǎng)絡(luò)平臺，其中必定有許多重要的業(yè)務(wù)，在強(qiáng)調(diào)帶寬和吞吐量的同時，應(yīng)當(dāng)為重要程度不等的業(yè)務(wù)供應(yīng)不同的服務(wù)質(zhì)量保證。因此，在網(wǎng)絡(luò)設(shè)計時應(yīng)當(dāng)考慮網(wǎng)絡(luò)性能的因素，使網(wǎng)絡(luò)能夠滿足現(xiàn)有以及將來新業(yè)務(wù)對服務(wù)質(zhì)量的要求?？蓴U(kuò)展性隨著IT技術(shù)的飛速發(fā)展，提升和改善企業(yè)業(yè)務(wù)運行效率以及競爭力的IT產(chǎn)品會不斷推陳出新，而體系會成為企業(yè)生存、發(fā)展和壯大的必定裝備，作為企業(yè)業(yè)務(wù)流量轉(zhuǎn)發(fā)的重要部分，設(shè)計時應(yīng)當(dāng)充分考慮到網(wǎng)絡(luò)的可擴(kuò)展性以及對將來開展業(yè)務(wù)的支持。高性價比充分考慮網(wǎng)絡(luò)的容量，合理配置設(shè)備和鏈路，除了一次性投資考慮，還應(yīng)重點考慮設(shè)備后期運行和維護(hù)的費用。網(wǎng)絡(luò)管理的簡易性企業(yè)交換網(wǎng)絡(luò)的覆蓋面廣，設(shè)備數(shù)量眾多，而且將來也有可能不斷擴(kuò)大規(guī)模。網(wǎng)絡(luò)管理的工作量是須要重點考慮的問題。因此，在網(wǎng)絡(luò)設(shè)計應(yīng)當(dāng)考慮網(wǎng)絡(luò)管理的因素，盡量削減網(wǎng)絡(luò)管理的難度和困難性。企業(yè)網(wǎng)業(yè)務(wù)需求分析隨著網(wǎng)絡(luò)不斷的發(fā)展，企業(yè)網(wǎng)已從被動的、背景式的角色逐步演化為主動式的、高可視化的核心組成部分。企業(yè)的日常運行以及良好的市場競爭力都依靠于企業(yè)網(wǎng)的正常高效運行?，F(xiàn)在的企業(yè)網(wǎng)已成為須要在任何時間從任何地點都可以訪問的戰(zhàn)略設(shè)施，同時還要在全部節(jié)點上規(guī)模的供應(yīng)快速、平安和牢靠的服務(wù)。企業(yè)網(wǎng)承載的業(yè)務(wù)從傳統(tǒng)的客戶端/服務(wù)器數(shù)據(jù)流到端到端的數(shù)據(jù)流，同時須要容納快速增長的服務(wù)和設(shè)備。為適應(yīng)企業(yè)更多重要業(yè)務(wù)的需求，企業(yè)網(wǎng)必需顛覆傳統(tǒng)的設(shè)計思路，圍繞企業(yè)網(wǎng)平安、連接性和性能進(jìn)行全面的考慮，在具備良好穩(wěn)定性、牢靠性和高性能的同時具備簡潔和敏捷，在適應(yīng)新的業(yè)務(wù)發(fā)展時不用重新設(shè)計網(wǎng)絡(luò)。企業(yè)網(wǎng)處在特別重要的地位，包含企業(yè)主要位置的一棟或者多棟相鄰的建筑，一般是公司的總部或者主要站點。企業(yè)大部分重要的服務(wù)和應(yīng)用都分布在各個建筑甚至是許多樓層里面，而這些應(yīng)用大部分都是須要在線運行的，企業(yè)網(wǎng)任何downtime或者效率低下都會導(dǎo)致企業(yè)受到損失。Juniper的企業(yè)網(wǎng)交換解決方案旨在供應(yīng)全面得平安、高性能、高可用的網(wǎng)絡(luò)，保障企業(yè)網(wǎng)全部組件始終正常在線服務(wù)，從而提高生產(chǎn)力和客戶滿足度。為了優(yōu)化高效的商業(yè)運作，企業(yè)網(wǎng)必需供應(yīng)如下高級別服務(wù)：平安服務(wù)：平安是全部企業(yè)網(wǎng)服務(wù)的關(guān)鍵，對網(wǎng)絡(luò)和應(yīng)用的訪問是開放和普遍存在的，但是得保證堅固和可限制。LAN連接服務(wù)：供應(yīng)多種接入方式，包括計算機(jī)、語音電話、PDA、監(jiān)控攝像頭、智能電話等等。高性能服務(wù)：企業(yè)網(wǎng)在任何時間滿足全部應(yīng)用的傳送需求。HA：拒絕企業(yè)網(wǎng)的Downtime，供應(yīng)99.999%的牢靠性。HA貫穿整個企業(yè)網(wǎng)，Juniper網(wǎng)絡(luò)設(shè)備和軟件供應(yīng)成本高效的、特性豐富的和高可用的服務(wù)，并且供應(yīng)集中化的管理服務(wù)以削減downtime和維護(hù)費用。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計方案概述近年來，隨著企業(yè)信息化的深化進(jìn)行，企業(yè)網(wǎng)絡(luò)整體的快速發(fā)展，企業(yè)網(wǎng)已經(jīng)成為企業(yè)最重要的學(xué)習(xí)和生產(chǎn)設(shè)施，企業(yè)網(wǎng)絡(luò)面臨的挑戰(zhàn)變得日益突出。瞻博網(wǎng)絡(luò)企業(yè)網(wǎng)出口解決方案可以有效解決目前企業(yè)的問題以及CERNET和其它電信運營商間互聯(lián)帶寬不足或者運用不充分，造成訪問速度緩慢不能滿足員工需求的供需沖突；二是網(wǎng)絡(luò)應(yīng)用日益豐富，造成病毒泛濫，網(wǎng)絡(luò)平安提出的更高需求的沖突。方案介紹針對企業(yè)網(wǎng)的上述特點建議部署一臺瞻博網(wǎng)絡(luò)高性能J2320路由器，J2320路由器對外接入CERNET，并供應(yīng)高性能的路由功能，同時J2320路由器對內(nèi)通過GE鏈路接入到防火墻平安設(shè)備上。該方案的技術(shù)特點：高性能的路由轉(zhuǎn)發(fā)和良好的擴(kuò)展性通過在J2320路由器上進(jìn)行路由設(shè)置，將流量合理快速至出口鏈路，有效利用帶寬，提高訪問其他電信運營商網(wǎng)內(nèi)資源的速度。今后要是多出口的狀況下還可以，依據(jù)流量實際狀況，可以具體劃分各種應(yīng)用將其分布到不同的鏈路上。便捷的配置，設(shè)置企業(yè)網(wǎng)出口設(shè)備—J2320擔(dān)當(dāng)了高效的路由轉(zhuǎn)發(fā)，出入企業(yè)網(wǎng)流量限制，這樣重任由出口路由器來擔(dān)當(dāng)，從而使得路由器的選擇就特別的重要。防火墻系統(tǒng)部署方案防火墻系統(tǒng)在網(wǎng)絡(luò)邊界設(shè)置進(jìn)出口限制，可以防衛(wèi)外來攻擊、監(jiān)控往來通訊流量，是企業(yè)網(wǎng)絡(luò)平安的第一道關(guān)卡，其重要性不言而喻。網(wǎng)絡(luò)防火墻系統(tǒng)從其設(shè)置的物理位置來說，最恰當(dāng)?shù)奈恢镁褪遣煌桨布墑e的網(wǎng)絡(luò)物理邊界的出入口。所以可以說，網(wǎng)絡(luò)平安系統(tǒng)最為關(guān)鍵的組成部分事實上是利用上述的各種技術(shù)手段，通過對網(wǎng)絡(luò)出入口的限制實現(xiàn)平安服務(wù)的目的。目前全部廠商的高端防火墻系統(tǒng)本身都支持多物理端口，同時其物理端口還可進(jìn)一步支持802.1Q協(xié)議。因此，平安域的劃分既可通過網(wǎng)段的物理端口連接實現(xiàn)，也可以通過VLAN虛擬端口方式連接。我們可將平安等級不同的網(wǎng)絡(luò)劃分在不同物理網(wǎng)段或邏輯VLAN中，然后將物理網(wǎng)段干脆和防火墻不同的物理端口相連或?qū)LAN指定為防火墻系統(tǒng)的某個接口的網(wǎng)邏輯子接口。這樣，防火墻系統(tǒng)就成為不同網(wǎng)段或VLAN之間相互訪問的唯一通道，全部跨網(wǎng)段或VLAN間的流量都要經(jīng)過防火墻模塊的檢測，實現(xiàn)平安域的劃分。交換機(jī)接入交換機(jī)干脆和防火墻相連接組成局域網(wǎng)，瞻博網(wǎng)絡(luò)EX2200系列固定配置以太網(wǎng)交換機(jī)，具備完整的第2層交換功能和基本的第3層交換功能，可滿足當(dāng)今高績效企業(yè)的分支辦事處和低密度配線室的連接需求。該產(chǎn)品供應(yīng)四種平臺配置：24個和48個10/100/1000BASE-T端口，可按不同需求完全滿足企業(yè)的內(nèi)網(wǎng)需求。Juniper的企業(yè)網(wǎng)結(jié)構(gòu)設(shè)計網(wǎng)絡(luò)拓?fù)鋱D企業(yè)網(wǎng)選用設(shè)備JuniperEX系列交換機(jī)Juniper網(wǎng)絡(luò)EX系列以太網(wǎng)交換機(jī)運營商級牢靠性平安風(fēng)險管理網(wǎng)絡(luò)虛擬化應(yīng)用限制降低TCO運營商公認(rèn)的硬件和軟件威逼牽制和統(tǒng)一接入限制虛擬路由和GRE隧道穿越JUNOS和統(tǒng)一管理應(yīng)用可視性和服務(wù)質(zhì)量依據(jù)公司實際狀況舉薦交換機(jī)型號為EX2200交換機(jī)Juniper網(wǎng)絡(luò)EX2200系列以太網(wǎng)交換機(jī)展示了五種關(guān)鍵特性，結(jié)合在一起構(gòu)成了真正的企業(yè)級交換解決方案：運營商級牢靠性、平安風(fēng)險管理、網(wǎng)絡(luò)虛擬化、應(yīng)用限制、降低總體擁有成本(TCO)。運營商級牢靠性：一順百順，一通百通。因此，Juniper網(wǎng)絡(luò)EX系列以太網(wǎng)交換機(jī)運用被全球最大規(guī)模電信運營商網(wǎng)絡(luò)所部署的、經(jīng)過實踐驗證的相同技術(shù)——包括應(yīng)用特定的高性能集群電路(ASIC)、系統(tǒng)架構(gòu)和JUNOS?軟件，從而構(gòu)成了強(qiáng)韌的、經(jīng)久耐用的、高度牢靠的網(wǎng)絡(luò)基礎(chǔ)設(shè)施解決方案來為高績效企業(yè)服務(wù)。平安風(fēng)險管理：Juniper網(wǎng)絡(luò)EX系列以太網(wǎng)交換機(jī)完全兼容Juniper網(wǎng)絡(luò)統(tǒng)一接入限制(UAC)解決方案，能夠供應(yīng)另一層平安愛護(hù)。產(chǎn)品首先實施用戶和病毒檢查，然后才執(zhí)行端到端的、精準(zhǔn)的平安策略，用于確定誰有權(quán)訪問哪些網(wǎng)絡(luò)資源，并通過實施服務(wù)質(zhì)量(QoS)策略來確保業(yè)務(wù)流程的交付?；诋悩拥募和茩z測功能能夠識別出并阻斷分布式拒絕服務(wù)(DDoS)攻擊，從而供應(yīng)更深化的愛護(hù)。網(wǎng)絡(luò)虛擬化：EX系列交換機(jī)采納Juniper網(wǎng)絡(luò)集群交換技術(shù)，最多允許10個EX4200交換機(jī)互連在一起，并作為單一系統(tǒng)發(fā)揮作用。通過集群交換技術(shù)，用戶能夠在一個經(jīng)濟(jì)高效的小巧平臺中獲得機(jī)箱式系統(tǒng)的牢靠性、可用性和高端口密度，從而實現(xiàn)機(jī)箱式和可堆疊交換機(jī)的雙重優(yōu)勢。EX系列交換機(jī)還支持通用路由封裝(GRE)隧道穿越技術(shù)，用于從遠(yuǎn)程位置向網(wǎng)絡(luò)運行中心的監(jiān)控產(chǎn)品發(fā)送鏡像流量，以便集中分析、解除故障或構(gòu)建相互隔離的重疊網(wǎng)絡(luò)，因此不會遇到和生成樹相關(guān)的問題。應(yīng)用限制：勝利管理網(wǎng)絡(luò)須要您了解網(wǎng)絡(luò)的運用狀況，以便優(yōu)化應(yīng)用交付，并最大限度地提高運行效率。Juniper網(wǎng)絡(luò)機(jī)箱式EX8200系列以太網(wǎng)交換機(jī)運用集群的高性能ASIC，允許您以線速查看150多個應(yīng)用，從而針對用戶如何運用系統(tǒng)獲得前所未有的洞察力。為了便于區(qū)分，Juniper網(wǎng)絡(luò)EX系列以太網(wǎng)交換機(jī)將應(yīng)用分為業(yè)務(wù)、P2P、消息傳遞或嬉戲等多個類別，并供應(yīng)主要會話雙方、各應(yīng)用的帶寬消耗、各位置的流量安排等具體信息，以便您深化了解網(wǎng)絡(luò)中的應(yīng)用行為。為確保為應(yīng)用流量合理地安排優(yōu)先級，EX系列以太網(wǎng)交換機(jī)在每個端口支持強(qiáng)韌的8個QoS隊列——足以為限制層、語音、視頻和多個級別的數(shù)據(jù)流量供應(yīng)獨立隊列，并為融合樓宇自動化和平安監(jiān)控攝像機(jī)等其他網(wǎng)絡(luò)留有空間。降低TCO：高可擴(kuò)展的“按需購買，漸進(jìn)擴(kuò)展”架構(gòu)，低功耗、低占地空間和低冷卻要求的網(wǎng)絡(luò)設(shè)計，通用操作系統(tǒng)，適用于全部Juniper網(wǎng)絡(luò)產(chǎn)品的統(tǒng)一管理工具，全部這些優(yōu)勢結(jié)合在一起，能夠幫助EX系列以太網(wǎng)交換機(jī)客戶同時降低前期購置和后期運行成本。高性能的高密度平臺允許用戶從小規(guī)模起步，然后按部就班地實施增長，從而為擁擠的配線間和數(shù)據(jù)中心節(jié)約了珍貴空間，同時降低了能耗和冷卻等循環(huán)成本。利用整個交換機(jī)系列中統(tǒng)一部署的通用JUNOSTM軟件版本，EX系列以太網(wǎng)交換機(jī)可確保在整個基礎(chǔ)設(shè)施中的一樣實施并縮短學(xué)習(xí)過程。統(tǒng)一管理工具則能夠合并系統(tǒng)監(jiān)控和維護(hù)工作，既省時又省錢。防火墻SRX系列JuniperSRX210H防火墻網(wǎng)絡(luò)平安依據(jù)公司實際狀況舉薦防火墻型號為SRX210H防火墻瞻博網(wǎng)絡(luò)SRX210系列分支辦事處業(yè)務(wù)網(wǎng)關(guān)和瞻博網(wǎng)絡(luò)的SRX系列高端產(chǎn)品、EX系列以太網(wǎng)交換機(jī)、M系列多業(yè)務(wù)邊緣路由器、MX系列3D通用邊緣路由器以及T系列核心路由器一起，共同形成了規(guī)?？涨?、基于瞻博網(wǎng)絡(luò)Junos單一操作系統(tǒng)的產(chǎn)品線。采納Junos操作系統(tǒng)，企業(yè)和電信運營商能夠在其整個分布式員工隊伍中降低部署和運營成本。?SRX系列分支辦事處網(wǎng)關(guān)采納成熟的Junos操作系統(tǒng)，該操作系統(tǒng)在全球100強(qiáng)電信運營商的核心互聯(lián)網(wǎng)路由器中被普遍采納。在過去15年的全球推廣應(yīng)用中，其經(jīng)過嚴(yán)格測試的電信運營商級IPv4/IPv6、OSPF、BGP和多播路由特性已得到驗證。?SRX系列分支辦事處業(yè)務(wù)網(wǎng)關(guān)供應(yīng)邊界平安、內(nèi)容平安、接入限制以及在整個網(wǎng)絡(luò)范圍對威逼的可視性和限制實力。通過運用分區(qū)和策略，即使是沒有閱歷的網(wǎng)絡(luò)管理員也能夠快速平安地為分支辦事處部署和配置SRX系列網(wǎng)關(guān)。此外，SRX系列現(xiàn)在還為防火墻、IPsecV