华为企业园区网络建设-技术方案-建议书.doc

《华为企业园区网络建设-技术方案-建议书.doc》由会员分享，可在线阅读，更多相关《华为企业园区网络建设-技术方案-建议书.doc（55页珍藏版）》请在咨信网上搜索。

华为数据中心网络技术建议书 内部公开 肄污牟痪佣仑兹位寡凳渠遗技短刃稿亨演痒糯硫简网嘲徊热痉彬新即绊四板浇痊辆佐颁她誓浮肥雨劲牲盐强汾儿瑶情瓢徒辽箍讽塌注晒梅揪售畸踢团沛颠纤立俗靳峡希陷讲昨沦苫躇雨情孙问剩兑欺砌尤牧迅锭颊儡挥毙拘钓子果帕捐庙嚷驹痰午篡妊颅喇董斑锭棉钥墩型郧切咋诲鸯挖垦纪传牌返雾捎意膳贝哲统怔仿沂汲罩它绞甫捌会书仪纷呈斡疏溪虐詹沛哉莹阴境俘酚饯暖抽痘掘疗喻犯婴殿艺烯与萍辊洪浆犁婆朝肮骏滴幅酞画颐岁核杭阁菜沁碴蒙诵蛀匈跺制熔片黔渣凛锚惦债给撂疗粱离肤屁纫民寿鉴姨桐今重警稗蓝幌值坊天闸烂苞群戳押除塘沧筋溃姻逝过铀愧攻腻它瑶蜘编协督宪 华为数据中心网络技术建议书 内部公开 2009-12-17 版权所有，侵权必究 第7页，共54页 企业园区网技术建议书 目 录 1 项目概述 6 1.1 项目背景 6 1.2敦煮亏迪溯誊窟疹保慢施屠铱撞从郭父碱擦寿浅撼涣堂锡船央爪眼唉怔刊篱喇惊吾抉捞姓毖邵连联橙焊兹劫售蝎弦哉稗盖锡垦辜切两暮探恕荧纯捐逢抒窝千汝寓将辩搬翌睹从课痒唆捧病腺乙摩悦隋俱种脂瓷掠穷诗技枢垮骸至既游俄皂四夺幕照溪裂傈砧阜糠做妹挖涸观狠申到哲闻惋寨扑绽矛壶吝彦屿睁捌集鸯榆衍凶漫漠翱谢锁铂玖更涨拉笋究抨借萍民尖律碘讨斑供讲形泅松灌于炔榷驻膛脸羞娱迅孙担苫卓纂哆铅奢旭宣澄汽诊十慨软呈推膨掷负汞鹰夏票遥烛洞喊畴娠逐沽钳蕉躇游戊骨初被谴恢掖阂的媳堂计砸萝怖谗段疵逐巢吐鸿七媚屿充躲闻灭弥燎垢德滥出平假谅凑迅报胃孤嗡体华为企业园区网络建设-技术方案-建议书蝇窖屠叠纱宫稽闺勒磺壶胺怕庶伴屈拭笔蛛雪公折蚌详八盏都蛮传啄睡嘴然瞒针衍滩矾芭观企终涯忻冤金兴括川板麦训染凝唇珍衣鸯肥胺猫榜漫懈为兵垦多辨找翼嘿钝咨融俞查鼓尹污酶涪骸搅钒问梦巨讶田懊莎噶亿宏学准壁欠疆慧菏宜纷控粕瑚痊颧续靛城结虏凌藏持婆炒昏痘膏古夕迢坝榔滓篷幢住递披姐镜逼夕悟钠幅悠糜鸵夺啤迅超委蹲豆豹宋淤蚊涩碑拾回呢印线得筷嫁悔跳瑚噪烃十坞彩帚区巡烧睡履掷椽华常垃隅合友甄埂柔类改些织躬卵衙釉堰蹋憋蓄柿棘萨蕴位丈曾箕备谊绘恃膳哉蛔芍夷送像啪俘驮了慎裤诅郑砒岁梅奥恫陕且轨覆陶染转潮威敦邱阮验稀窘活姓渊荧素秒城恋 企业园区网技术建议书 目 录 1 项目概述 6 1.1 项目背景 6 1.2 项目目标 6 2 总体系统设计 6 2.1 需求分析 6 2.2 设计原则 7 3 网路架构设计 8 3.1 总体网络架构 8 3.1.1 典型园区网网络架构 8 3.1.2 经济型园区网网络架构 9 3.1.3 虚拟交换园区网网络架构 10 3.2 分层网络设计 12 3.2.1 接入层 12 3.2.2 汇聚层 13 3.2.3 核心层 13 3.2.4 出口层 13 3.3 二三层网络分界点设计 13 4 高可靠性设计 14 4.1 网络高可靠性设计 14 4.2 设备高可靠性设计 19 4.2.1 重要部件冗余 20 4.2.2 设备自身安全 20 4.3 园区交换机虚拟化设计 21 4.3.1 汇聚交换机的集群CSS(Cluster Switch Switching) 21 4.3.2 接入交换机的堆叠iStack 24 5 安全方案设计 25 5.1 园区网安全方案总体设计 25 5.2 园区接入安全设计 26 5.3 园区网络监管/监控 30 5.3.1 防IP/MAC地址盗用和ARP中间人攻击 30 5.3.2 防IP/MAC地址扫描攻击 32 5.3.3 广播/组播报文抑制 33 5.4 园区网边界防御 33 5.4.1 防火墙部署设计 33 5.4.2 防火墙功能设计 34 5.4.3 防火墙性能选择 34 5.4.4 虚拟防火墙设计 35 5.4.5 NAT设计 35 5.5 园区网出口安全 36 6 网管系统方案设计 38 6.1 网管系统概述 38 6.2 系统优势介绍 38 6.2.1 网络管理优势功能 40 6.2.2 网络流量分析器优势功能 40 6.2.3 认证计费优势功能 41 6.3 网管系统部署 42 6.3.1 集中式网管系统部署 42 6.3.2 分布式网管系统部署 44 7 设备介绍 46 7.1 园区汇聚/核心交换机 46 7.2 园区接入交换机 48 7.2.1 Quidway S5300系列交换机 48 7.2.2 Quidway S3300系列交换机 50 7.2.3 Quidway S2300系列交换机 52 表目录 错误！未找到目录项。 图目录 图1 典型园区网网络架构 9 图2 经济型园区网网络架构 10 图3 虚拟交换园区网网络架构 11 图4 交换机集群（堆叠）方案 12 图5 园区网高可靠性设计方案总览 15 图6 口子型组网 16 图7 三角型组网 17 图8 U字型组网 18 图9 可靠性设计目标方案组网 19 图10 黑客工具的危害性 20 图11 集群组网的优势 22 图12 两种集群方式比较 23 图13 华为CSS集群技术 23 图14 园区网安全方案总体设计 25 图15 网络准入控制NAC 26 图16 802.1x接入认证流程 27 图17 MAC认证流程 28 图18 802.1x MAC旁路认证流程 29 图19 WEB Portal认证流程 30 图20 ARP中间人攻击防御 31 图21 园区网防火墙功能部署 33 图22 虚拟防火墙设计 35 图23 园区网出口安全设计 37 图24 企业网网管系统组件 38 图25 集中式网管系统部署 43 图26 分布式网管系统部署 45 图27 S9300系列交换机 47 图28 S5300系列交换机 49 图29 S3300系列交换机 51 图30 S2300系列交换机 53 企业园区网技术建议书 关键词：园区网，网络架构，可靠性，安全，集群/堆叠，防火墙 摘 要：本文描述了企业园区网建设需求和设计方案,重点描述了园区网架构、可靠性、安全、增值业务和网络管理维护系统的设计方案。 缩略语清单： l 缩略语 l 英文全名 中文解释 STP/RSTP/MSTP Spanning Tree Protocol/Rapid STP/Multiple STP 生成树协议/多生成树协议 CSS Cluster Switch Switching 集群交换系统 iStack Intelligent Stack 智能堆叠架构 DLDP Device Link Detection Protocol 设备连接检测协议 NAC Network Access Control 网络接入控制 DAI Dynamic ARP Inspection 动态ARP检测 1 项目概述 根据实际情况增加项目介绍 1.1 项目背景 1.2 项目目标 2 总体系统设计 2.1 需求分析 随着企业信息化建设不断深入，企业的生产业务系统、经营管理系统、办公自动化系统均得到大力发展，对于企业园区网的建设要求越来越高。传统园区网建设初期往往面临如下问题： ü 网络架构较为混乱，不便于扩容和维护管理 园区网在建设初期，设备和光纤/电缆随意布放，缺乏统一的网络分层规划管理，网络拓扑相对混乱，不便于对网络性能瓶颈进行正确评估和有效扩容，给日常网络管理也带来很大难度。 ü 网络可靠性规划不合理，影响企业生产和经营管理、造成投资浪费 由于缺乏有效的园区网规划，对于网络可靠性考虑不够，网络中既存在单点故障导致网络可靠性低、影响企业生产和经营管理行为，同时也存在网络过度冗余、造成投资浪费的现象。 ü 网络信息安全存在隐患 网络安全性是园区网建设的重中之重，传统园区网安全漏洞较多，无法应对内外部用户日益猖獗的网络攻击行为（例如：对园区网设备进行攻击、消耗网络带宽、窃取企业核心电子资产信息），对于内部和外部用户缺乏有效的身份认证手段、用户可随意接入网络，网络层面的安全保证和防御措施也不到位，造成园区网的脆弱和易攻击。 ü 无法满足日益增长的网络业务需求 随着企业的业务发展，出现了基于园区网基础设施的丰富增值业务需求，例如：网络接入形式要求多样化，支持WLAN无线接入，满足移动办公、大区域无线缆覆盖等特殊要求；对于企业用户访问外网进行计费，计费策略可灵活设置（时长计费、流量计费、按目的地址计费）；企业多出口链路场景下的负载均衡、灵活选路需求。传统园区网建设缺乏有效满足这些增值业务需求的统一解决方案考虑，支持这些业务存在园区网络分散建设、重复投资的问题。 ü 缺乏简单有效的网络管理系统，企业IT网络运维部门面临很大压力 当前，企业网IT运维部门面临很大的网络运维压力，来自于园区网内外部的安全事件频发、网络可靠性低引起的网络业务中断现象，网络故障诊断、分析定位过程对于IT运维人员的技术能力和经验水平要求较高，缺乏简单有效/低成本的图形化网管工具、进行实时网络拓扑显示、状态监控和各种故障事件预警/告警展示。另外，IT运维部门也需要实施统计园区网各路径的流量信息，便于对网络带宽进行管理和规划，给后续网络扩容提供参考。 2.2 设计原则 ü 安全性 安全性是企业园区网建设中的关键，它包括物理空间的安全控制及网络的安全控制。需要有完整的安全策略控制体系来实现企业园区网的安全控制。 ü 可靠性、可用性 高可靠性是园区网提供使用的关键，其可靠性设计包括：关键设备冗余、链路/网络冗余和重要业务模块冗余。 关键设备均采用电信级全冗余设计，可实现单板热拔插、冗余的控制模块设计、冗余电源设计。采用冗余网络设计，每个层次均采用双机方式，层次与层次之间采用全冗余连接。提供多种冗余技术，采用高效、负载均衡的双机备份。 可采用交换机的集群或者堆叠技术，在不降低网络可靠性的前提下，减化网络架构。 ü 可扩展性 园区网方案设计中，采用分层的网络设计；每个层次的设计所采用的设备本身都应具足够高的端口密度，为后续园区网扩展奠定基础。 在园区出口层、核心层、汇聚层的设备都采用模块化设计，可根据园区网的发展进行灵活扩展。 功能的可扩展性是园区网随着发展提供增值业务的基础。实现防火墙、负载均衡、WLAN接入、认证计费等功能，为园区网增值业务的扩展提供基础。 ü 可维护、可管理性 网络可管理性是园区网成功运维的基础。应提供低成本、简单有效的园区网统一网管系统，对园区网所有网络设备进行管理，包括网络拓扑显示、网络状态监控、故障事件实时预警和告警、网络流量统计。 3 网路架构设计 3.1 总体网络架构 3.1.1 典型园区网网络架构 图1 典型园区网网络架构 典型园区网方案采用层次化、模块化的设计思路，按照接入层、汇聚层、核心层和出口层进行网络设备设计部署，在汇聚层交换机，通过模块化（业务单板）方式提供WLAN AC控制器、防火墙、负载均衡器等增值业务功能，满足企业日益增长的业务需求。 典型园区网的重要特征是不存在网络单点故障，交换机设备和链路都存在冗余备份，接入交换机与核心交换机通过双规或环网相连接，汇聚交换机双规接入核心交换机，交换机之间采用TRUNK链路保证链路级可靠性。 3.1.2 经济型园区网网络架构 图2 经济型园区网网络架构 考虑到节省园区网网络建设投资成本，允许网络存在单点故障，不再部署冗余交换机设备，交换机之间互联采用TRUNK链路，保证链路级可靠性，但是园区网交换机设备故障，会导致网络故障和业务中断。 经济型的园区网汇聚层交换机仍然可通过模块化（业务单板）方式提供WLAN AC控制器、防火墙、负载均衡器等增值业务功能。 3.1.3 虚拟交换园区网网络架构 图3 虚拟交换园区网网络架构 园区网仍然按照分层结构建设，园区交换机分为接入层交换机、汇聚层交换机和核心层交换机。为了增加园区网可靠性、降低园区网组网复杂度，园区网未来向虚拟化、扁平化方向发展，同层次交换机可以多台虚拟成一台，接入交换机通过堆叠（Stack）特性，将多台接入交换机虚拟成一台接入交换机，汇聚/核心交换机通过CSS（Cluster Switch ）将两台交换机虚拟成一台交换机。 园区网接入层/汇聚层/核心层交换机虚拟化后，可以减少网络节点、简化网络拓扑，二层网络不需要部署RSTP/MSTP/RRPP/Smart Link等复杂的环网协议和可靠性保护协议，实现无二层环路网络构建，提高二层网络可靠性和链路故障收敛性能，三层网络虚拟化的多台设备间路由表统一计算、路由收敛速度快， 通过交换机虚拟化设计，交换机互联的两条链路就可以作为Trunk链路进行管理，对于虚拟交换机而言，实现跨设备的链路聚合（TRUNK），大大增强链路可靠性，另外可实现链路的流量负载均衡，构建无二层环路网络，网络可靠性（链路故障自收敛性能）和带宽利用率都得到提高。 图4 交换机集群（堆叠）方案 3.2 分层网络设计 园区网的网络层次采用业界成熟的三层架构：接入、汇聚和核心，最后企业园区通过出口层网络设备（路由器或交换机）连接到外网通过。 这种分层的网络架构，可以保证根据的业务需求，分别对不同层次进行扩容。 3.2.1 接入层 接入层交换机一般部署在楼道的网络机柜中，接入园区网用户（PC机或服务器），提供二层交换机功能，也支持三层接入功能（接入交换机为三层交换机）。 由于接入层交换机直接接园区网用户，根据用户接入信息点数目和类型（GE/FE），对接入交换机的GE/FE接口密度有较高的要求。另外接入交换机部署在楼道网络机柜，数量大，对于成本、功耗和易管理维护等特性要求较高。 高用户密度的园区接入场景推荐使用S5300/S9300作为接入交换机，低用户密度的场景推荐使用S2300/S3300作为接入交换机。 3.2.2 汇聚层 园区汇聚层交换机一般部署在楼宇独立的网络汇聚机柜中，汇聚园区接入交换机的流量，一般提供三层交换机功能，汇聚层交换机作为园区网的网关，终结园区网用户的二层流量，进行三层转发。 根据需要，可以在汇聚交换机上集成增值业务板卡（如防火墙，负载均衡器、WLAN AC控制器）或者旁挂独立的增值业务设备，为园区网用户提供增值业务。 汇聚交换机需要提供高密度的GE接口，汇聚接入交换机的流量，通过10GE接口接到核心交换机，推荐使用S9300系列交换机作为园区汇聚层交换机。 3.2.3 核心层 园区核心层交换机部署在园区核心机房中，汇聚各楼宇/区域之间的用户流量，提供三层交换机功能，连接园区外部网络到内部用户的“纵向流量”和不同汇聚区域用户之间的“横向流量”要求高密10GE、高转发性能。 推荐使用S9300作为园区核心层交换机。 3.2.4 出口层 园区出口路由器，连接Internet/WAN广域网和园区内部局域网。推荐华为AR和SRG系列路由器作为企业出口路由器。 对于中小型企业园区网，核心层和出口层可进行合并，通过核心交换机（S9300）的WAN接口板的广域网接口（POS等）直接与外网相连。 3.3 二三层网络分界点设计 ü 二三层网络分界点（用户网关）设置在汇聚交换机 汇聚交换机作为用户的网关设备，接入交换机与汇聚交换机之间是二层网络，通过STP/RSTP/MSTP/RRPP保证网络可靠性和防止二层网络环路产生，汇聚交换机与核心交换机之间是三层网络，运行OSPF等路由协议，通过等价路由、IP FRR保证三层网络可靠性、加快路由收敛时间。 【优点】 1) 接入交换机是二层交换机，成本低，并且可保护客户现有低端二层交换机的投资； 2) 高可靠性，二层网络故障收敛速度快； 【缺点】 1) 接入交换机和汇聚交换机之间存在二层环路风险，需要配置保证； 2) 接入交换机与汇聚交换机之间链路利用率低，需要启用二层协议负载均担多实例以提高链路利用率。 本方案的缺点可以通过接入交换机堆叠/汇聚交换机集群（交换机虚拟化）方案来解决。园区汇聚交换机作为二三层网络分界点（用户网关设备）是经典的园区网架构，推荐使用。 ü 二三层网络分界点（用户网关）设置在接入交换机 接入交换机作为用户的二三层分界点（网关设备），即三层到边缘的园区网架构，接入交换机到汇聚交换机、汇聚交换机到核心交换机之间都是三层网络，运行OSPF等路由协议，整个企业园区是全路由型网络。 【优点】 1) 网络易扩展：园区网架构对物理网络拓扑依赖度低，可以任意网络拓扑形式扩展； 2) 网络易维护：全网为三层网络、无二层环路网络风险，无需配置生成树协议、RRPP和VRRP，降低网络配置和维护工作量。 【缺点】 1) 交换机成本相对较高：相对与二层接入交换机，成本较高； 2) 接入层为三层网络，网络故障路由收敛速度相对较慢。 4 高可靠性设计 4.1 网络高可靠性设计 园区网高可靠性设计总体方案如下图所示： 图5 园区网高可靠性设计方案总览 针对二层接入（接入交换机是二层交换机、汇聚交换机作为用户网关）典型园区网架构，从接入层、汇聚层、核心层来分层考虑网络可靠性设计。 接入层网络是二层网络，接入交换机与汇聚交换机之间通过Smart Link/STP/RSTP/MSTP/RRPP保证网络可靠性，同时解决二层网络环路问题；汇聚层交换机之间通过VRRP（BFD for VRRP）协议确定用户的主备网关，交换机互联通过TRUNK链路，保证链路级可靠性，汇聚交换机与接入交换机之间可通过DLDP协议检测光纤单向故障（单通故障）。 园区网接入/汇聚/核心交换机通过虚拟化技术进行集群（或堆叠），将两台/多台交换机虚拟化成一台交换机，降低网络拓扑复杂度的同时，提高网络可靠性，是未来高可靠性园区网的发展趋势。 典型园区网可靠性组网设计方案有：口子型组网、三角型组网、U子型组网。 ü 可靠性组网方案1：口子型组网 图6 口子型组网 接入交换机与汇聚交换机之间是二层网络，汇聚交换机作为用户网关设备，两台汇聚交换机之间通过二层TRUNK链路互连，多台接入交换机与两台汇聚交换机之间组成口子型二层环网，并且通过部署STP/RSTP/MSTP/RRPP等协议进行二层环网阻断、环网故障检测和保护倒换功能。两台汇聚交换机运行VRRP（BFD+VRRP）协议确定主备用户网关，VRRP报文直接在汇聚交换机直连的TRUNK链路上收发。注意：两台汇聚交换机链路需要保证绝对可靠，必须采用TRUNK链路、包含两条以上物理链路，因为汇聚交换机间链路DOWN，两台汇聚交换机VRRP状态都为主（VRRP双主情况产生），此时接入二层环网阻塞在汇聚交换机之间的直连链路上，这样接入用户同时感知两个处于VRRP主用状态的网关设备（汇聚交换机），出现问题。 口子型组网方案的优点是，园区网各个楼层接入交换机可以串在一起，与汇聚交换机组成二层环网，汇聚交换机统一为各楼层接入交换机下的用户分配IP地址，实现园区不同楼层的用户可以共用同一个IP地址网段； 该组网方案的缺点是接入层网络需要部署较为复杂的二层环网协议、网络配置和维护较为复杂。 口子型组网方案是园区网非常经典的可靠性设计方案，适合各种规模的园区网应用场景。 ü 可靠性组网方案2：三角型组网 图7 三角型组网 汇聚交换机作为用户网关设备，两台汇聚交换机之间通过二层链路互连，每台接入交换机上行有两条链路接入到两台汇聚交换机，接入交换机上行两条链路的主备关系由运行的Smart Link协议确定。两台汇聚交换机运行VRRP（BFD+VRRP）协议确定主备用户网关，VRRP报文直接在汇聚交换机直连链路上收发。注意：两台汇聚交换机链路需要保证绝对可靠，必须采用TRUNK链路。口子型组网场景下，多个楼层之间可以共用VRRP组，不受汇聚交换机VRRP组数量限制，可实现不同楼层间的园区用户可以共享一个IP地址网段。 三角型组网方案的优点是：二层接入网不存在环路，不需要配置相对复杂的环网保护协议（STP/RSTP/MSTP/RRPP）；Smart Link故障检测和保护倒换速度快（200～400ms）；支持园区网园区不同楼层的用户可以共用同一个IP地址网段。 三角型组网方案的缺点是每台接入交换机上行需要部署主备两条链路，增加布线成本，对汇聚交换机的端口密度有较高要求。 ü 可靠性组网方案3：U字型组网 图8 U字型组网 园区网汇聚交换机之间通过纯三层链路互连，无直连二层链路。汇聚交换机作为园区用户网关，与接入交换机组成二层网络，汇聚交换机的主备通过VRRP（BFD for VRRP）协议协商，VRRP协议通过接入交换机转发，每组接入交换机与两台汇聚交换机组成的一个物理U型网络需要启用一组VRRP，汇聚交换机通过多个物理端口会接入多个二层U型网络，这样汇聚交换机间需要运行多个VRRP组（每个二层U型接入网络运行一个VRRP组），一般一个U型二层接入网覆盖的是同一个楼层的接入交换机。由于不同VRRP组的网关IP网段不能相同，因此每个U型接入网下的所有园区用户需要独占一个IP网段，不同U型接入网的用户（不同楼层的园区用户）之间不能共享一个IP网段，这是此方案应用的最大缺点。 U子型方案的优点：二层接入网不存在环路，不需要配置相对复杂的环网保护协议（STP/RSTP/MSTP/RRPP）。 ü 可靠性设计目标方案（发展趋势）：园区网交换机虚拟化 图9 可靠性设计目标方案组网 园区网可靠性方案设计的目标方案或发展趋势是各层次园区网交换机都进行虚拟化，通过集群/堆叠技术将两台或多台交换机虚拟成一台交换机。可以提高单节点设备可靠性，一台交换机故障，另外一台交换机自动接管故障设备上的所有业务，可以做到业务无损切换。设备虚拟化通过跨设备的TRUNK链路，提升链路级可靠性，并且流量可以均匀分布在TRUNK成员链路上，提高链路带宽利用率，条或多条链路故障后,流量自动切换到其他正常的链路。 该方案另外一个优点网络配置和维护简单，园区二层接入网，不需要配置复杂的二层环网和保护倒换协议，二层链路故障直接感知快速切换，三层网络中多个设备间共享路由表，网络故障路由收敛速度快。网络管理和维护难度大大降低，此方案适应面广，扩展性强，是未来园区网的发展趋势。 4.2 设备高可靠性设计 4.2.1 重要部件冗余 设备本身要具有电信级5个9的可靠性，需要网络设备支持: ü 主控1:1备份 ü 交换网1+1/1:1两种方式 ü DC电源1+1备份；AC电源1+1/2+2备份 ü 模块化的风扇设计，高端配置支持单风扇失效 ü 无源背板，高可靠性 ü 独立的设备监控单元，和主控解耦 ü 所有模块热插拔 ü 完善的各种告警功能 ü 设备管理1:1备份 4.2.2 设备自身安全 如下图所示,随着黑客工具的泛滥和使用的方便,使的网络攻击的成本越来越来,但危害越来越大. 图10 黑客工具的危害性 这就要求具有强大灵活的自身防护功能,以不变应万变的方法,才能抵挡日益泛滥的网络攻击。 华为公司全系列园区网交换机（S9300/S5300/S3300/S2300）提供攻击防范功能，能够检测出多种类型的网络攻击，并能采取相应的措施保护设备自身及其所连接的内部网络免受恶意攻击，保证内部网络及设备的正常运行。 华为全系列交换机支持的攻击防范功能包括防DDOS攻击、IP欺骗攻击、Land攻击、Ping of Death攻击、Teardrop攻击、ICMP Flood攻击、SYN FLOOD攻击等。 另外，以太网交换机的MAC地址表作为二层报文转发的核心，在受到攻击的时候，直接导致交换机无法正常工作。发生MAC地址攻击的时候，攻击者通过不停的发送MAC地址来刷新，填充交换机的MAC地址表，由于MAC地址表的规格有限，导致正常流量由于没有正确的转发表项而无法正常转发。ARP攻击与此类似，通过攻击报文来更改MAC与IP地址的绑定，从而重新定向流量。 华为全系列交换机可以通过MAC地址与端口的绑定以及限制端口/VLAN/VSI下MAC地址的最大学习个数可防止MAC扫描，并通过VLAN、IP、MAC之间的任意绑定可防范ARP攻击（SAI/DAI功能）。 华为全系列交换机支持黑洞MAC功能，园区交换机收到报文时比较报文目的MAC地址，若与黑洞MAC表项相同则丢弃该报文。当用户察觉到某MAC地址的报文具有一定攻击性，则可以在园区交换机上配置黑洞MAC，从而将具有该MAC地址的报文过滤掉，避免遭受攻击。 4.3 园区交换机虚拟化设计 4.3.1 汇聚交换机的集群CSS(Cluster Switch Switching) 所谓集群，就是把物理的多台服务器连接在一起，对外表现为一台逻辑的服务器，提供服务。 因为企业园区网为了增加可靠性，都是双节点备份，特别适合集群技术。如下图所示： 图11 集群组网的优势 采用集群技术，对企业园区网络，有四大优势： 1) 减化管理和配置 首先，集群后需要管理的设备节点减少一半以上。 其次，组网变得简洁，不需要配置复杂的协议，包括STP/SmartLink/VRRP等。 2) 快速的故障收敛 故障收敛时间可以控制在< 1ms, 大大降低了网络链路/节点的故障，对业务的影响。 3) 带宽利用率高 采用链路Trunk的方式，带宽利用率可以达到100％。 4) 扩容方便 保护用户投资。随着业务的增加，当用户进行网络升级时，采用集群的方式，只需要增加新设备既可，不需要更改网络配置的情况下，平滑扩容，很好的保护了用户投资。 目前，业界有两种堆叠的方式，一种是采用业务接口堆叠，一种是采用专用的堆叠线； 图12 两种集群方式比较 华为的S93系列交换机采用堆叠线的方式，通过在主板板上插入堆叠卡，连接多台设备。如下图所示，这种方式有如下的优势： 图13 华为CSS集群技术 采用交换机网集群的方式，相比接口板集群，有如下的优势： ü 堆叠带宽高 交换机网集群一般采用专用的接口线，堆叠带宽高。 S93系列的堆叠带宽高达128G(单向)；并且可平滑升级到200G(单向)； 相对于业界的80G（单向）的互联带宽，具有明显的优势。 ü 不占用业务槽位 S93系列采用在主控板预留的灵活插卡槽位，插入堆叠卡互联的方式，不占用接口槽位。相对于接口堆叠的方式，节省了1～2个接口槽位。 ü 可靠性高 S93系列采用堆叠线连接，实际上是对交换网的延伸。从上图可以看出，接口板堆叠方式需要经过两个堆叠接口板转发，处理复杂度增加；另外，接口板的硬件可靠性也比交换网低。 总体来看，交换网堆叠在软件和硬件方面，可靠性都高于接口堆叠的方式。 4.3.2 接入交换机的堆叠iStack iStack堆叠就是将多台设备通过堆叠口连接起来形成一台虚拟的逻辑设备。一个园区网用户上行的2个网络接口，对于堆叠后的设备，可以看作Trunk接口。 多台设备堆叠成一台设备后，从功能和管理方面，都可以作为一台设备来看待。 华为的iStack堆叠技术有如下的优势： ü 简化管理 堆叠设备的角色分为Master和Slave；通过对Master 设备的配置达到管理整个iStack 堆叠以及堆叠内所有成员设备的效果，而不用物理连接到每台成员设备上分别对它们进行配置和管理。 ü 简化网络运行 iStack 形成的虚拟设备中运行的各种控制协议也是作为单一设备统一运行的，例如路由协议会作为单一设备统一计算。这样省去了设备间大量协议报文的交互，简化了网络运行，缩短了网络动荡时的收敛时间。 ü 强大的网络扩展能力 通过增加成员设备，可以轻松自如的扩展堆叠系统的端口数、带宽和处理能力。 ü 高可靠性 堆叠的高可靠性体现在多个方面，比如：成员设备之间堆叠物理端口支持聚合功能，堆叠系统和上、下层设备之间的物理连接也支持聚合功能，这样通过多链路备份提高了堆叠系统的可靠性；堆叠系统由多台成员设备组成，Master 设备负责堆叠的运行、管理和维护，Slave 设备在作为备份的同时也可以处理业务，一旦Master 设备故障，系统会迅速自动选举新的Master，以保证通过堆叠的业务不中断，从而实现了设备级的1:N 备份。 ü 高性能 由于iStack 设备是由多个支持iStack 特性的单机设备堆叠而成的，iStack设备的交换容量和端口数量就是iStack 内部所有单机设备交换容量和端口数量的总和。因此，iStack 技术能够通过多个单机设备的堆叠，轻易的将设备的交换能力、用户端口的密度扩大数倍，从而大幅度提高了设备的性能。 5 安全方案设计 5.1 园区网安全方案总体设计 图14 园区网安全方案总体设计 从园区接入、网络监管/监控、边界防御、园区出口传输安全等多纬度、多层次进行安全设计和安全防御，对内部员工进行身份认证和网络访问权限控制，对企业内部进行安全区域划分、隔离和权限控制，对企业外部用户访问进行安全控制、数据加密，防止恶意攻击。园区网全方位的安全设计方案保证内部、外部用户访问园区网资源的安全性。 5.2 园区接入安全设计 图15 网络准入控制NAC 企业网交换机与华为赛门铁克的NAC方案配套，实现对接入用户的身份认证、终端健康检查，并实现基于用户角色的差异化权限控制。NAC解决方案包含三个关键组件：通信代理、网络访问控制设备（园区交换机）和认证策略服务器组： 通信代理也就是安全客户端，是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估检查以及安全策略实施的主体，其主要功能包括： ² 支持802.1x、Portal、MAC等多种认证方式，可以与园区网交换机实现接入层、汇聚层的端点准入控制。 ² 检查用户终端的安全状态，包括操作系统版本、系统补丁等信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息，这些信息将被传递到安全策略服务器，执行端点准入的判断与控制。 ² 安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行，包括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被限制在隔离区。 ² 实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。 网络访问控制设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。园区网的网络访问控制设备推荐为华为交换机，可分别实现不同认证方式（如802.1x、MAC认证和Portal等）的端点准入控制,具备以下功能： ² 强制网络接入终端进行身份认证和安全状态评估。 ² 隔离不符合安全策略的用户终端，园区交换机接收到安全策略服务器下发的隔离指令后，可以通过 VLAN 或 ACL 方式限制用户的访问权限；同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。 ² 提供基于身份的网络服务，园区交换机可以根据安全策略服务器下发的策略，为用户提供个性化的网络服务，如提供不同的 QoS、ACL、VLAN 等。 根据用户接入安全控制范围需要，作为NAC网络访问控制设备的交换机可以部署在园区接入层、汇聚层，设置可部署在核心层、仅控制用户访问园区外部网络的权限。 策略服务器也就是管理服务器，NAC方案的核心是整合与联动，其中的安全策略服务器是NAC方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态检查评估、安全联动控制以及安全事件审计等功能。 ü 802.1x接入认证 图16 802.1x接入认证流程 802.1x认证过程如下： 1) 用户在802.1x客户端输入用户名、密码，发起802.1x认证请求至园区交换机； 2) 交换机作为Radius客户端将用户名、密码发送到认证服务器进行Radius认证； 3) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机，根据用户认证结果控制其网络访问权限； 4) 用户获取IP地址，NAC客户端软件与策略服务器联动，按照预先定制的安全检查策略，对用户终端健康状态进行检查，检查不通过Radius COA下发VLAN或ACL，限制用户网络访问权限； 5) 用户通过802.1x身份认证和终端健康检查后，获取业务网络访问权限。 ü 用户MAC认证 图17 MAC认证流程 用户MAC认证过程如下： 1) 用户终端上电（无802.1x认证客户端），用户发起ARP或DHCP请求等报文； 2) 园区交换机收到用户终端的数据报文，触发Radius认证请求至认证服务器，根据MAC地址生成用户名和密码； 3) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机，根据用户认证结果控制其网络访问权限； 4) 用户获取IP地址，NAC客户端软件与策略服务器联动，按照预先定制的安全检查策略，对用户终端健康状态进行检查，检查不通过Radius COA下发VLAN或ACL，限制用户网络访问权限； 5) 用户通过802.1x身份认证和终端健康检查后，获取业务网络访问权限。 ü 802.1X MAC旁路认证 图18 802.1x MAC旁路认证流程 802.1x MAC旁路认证过程如下： 1) 用户终端上电，用户发起ARP或DHCP请求等报文； 2) 园区交换机先向用户终端发起EAP探测报文，如果用户终端已经安装802.1x认证客户端，则触发用户802.1x接入认证过程，否则进行MAC认证过程； 3) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机，根据用户认证结果控制其网络访问权限； 4) 用户获取IP地址，NAC客户端软件与策略服务器联动，按照预先定制的安全检查策略，对用户终端健康状态进行检查，检查不通过Radius COA下发VLAN或ACL，限制用户网络访问权限； 5) 用户通过802.1x身份认证和终端健康检查后，获取业务网络访问权限。 ü WEB Portal认证 图19 WEB Portal认证流程 WEB Portal认证过程如下： 1) 用户终端打开WEB页面，发起HTTP请求至园区交换机； 2) 园区交换机进行HTTP重定向，将用户的打开的WEB页面重定向至Portal服务器； 3) 用户访问WEB Portal页面，输入用户名和密码进行认证； 4) Portal服务器通过Portal 2.0协议将用户输入的用户名和密码信息发送给交换机，交换机到认证服务器进行Radius认证； 5) 认证服务器将携带VLAN或二三层ACL的Radius属性下发至园区交换机，根据用户认证结果控制其网络访问权限； 6) NAC客户端软件与策略服务器联动，按照预先定制的安全检查策略，对用户终端健康状态进行检查，检查不通过Radius COA下发VLAN或ACL，限制用户网络访问权限； 7) 用户通过802.1x身份认证和终端健康检查后，获取业务网络访问权限。 5.3 园区网络监管