xx公司网络规划

1、xx公司网络规划建议书1.1、 网络总体结构按照模块化、层次化的设计思想，xx公司的理想中的网络总体结构如下图所示：整个网络可以分为集团和分支机构（及工业园区）两部分，两者通过广域网络进行连接。集团网络可以分为核心交换区、骨干网接入区、数据中心、办公区、互联网接入区、网络管理区六个部分。核心交换区是全网的数据交换核心，负责高速数据转发；骨干网接入区是所有分支机构（及工业园区）的广域网汇聚点，并且提供广域网应用加速功能；数据中心集中接入和管理所有业务和办公服务器及存储，并且对各项服务包括ERP系统进行安全防护、负载均衡、SSL加速和卸载等；办公区是集团用户终端接入区域；互联网接入区域提供互联网访

2、问、流量控制、VPN接入、对外服务等功能；网络管理区负责管理基础网络、网络设备以及网络安全。分支机构（及工业园区）网络包括广域网接入、广域网应用加速、局域网等部分。从结构图可以看出，核心交换区、骨干网络接入区、数据中心是整个企业网络的主干，对可用性、安全性等方面有很高的要求。1.2、 面向服务架构的实现1.2.1、 整合化面向服务的架构要求将智能网络所需的各种资源实现网络整合，这是后续上层业务能看到底层网络提供各类服务的基础。xx公司网络设计中特别实现了以下集成整合能力：l 大吞吐量千兆/万兆平台：园区网的发展趋势是Any Over Ethernet，为实现包括存储（FCoE）、高性能计算等等

3、在内一体化整合平台，核心交换区和数据中心均部署高密度、超大吞吐量的千兆/万兆转发平台。l 交换机集成智能转发功能：核心交换区和数据中心部署的交换机的所有实配端口都集成硬件化的智能转发功能，包括符合RFC3954的Netflow，实现跨IP子网端口镜像的GRE隧道，NAT、MPLS PE、IPv6组播、单播反向路径检查（uRPF）、控制平面保护（Control Plane Policing）等等，整合业界最全面硬件智能转发功能，为提供智能服务打下良好基础。l 集成各种业务处理模块：核心交换区和数据中心部署的交换机均支持防火墙模块、IDS/IPS模块、管道清洗（防御DDoS）模块、网络协议分析（发

4、现异常流量）模块、VPN（IPSec/SSL）模块、应用优化控制（负载均衡）模块、无线控制模块、存储模块、媒体网关模块、广域网模块等等，从而可以把完整的高层智能功能下放到基础设施内完成，为形成交互服务层功能打下基础。1.2.2、 虚拟化虚拟化是实现物理资源复用、降低管理维护复杂度、提高设备利用率的关键，同时也是为未来自动资源协调和配置打下基础。xx公司网络设计了三个关键的虚拟化技术：MPLS VRF技术VLAN/VPN技术实现的是连通性的虚拟化。由于xx公司园区网络规模较大，构造横跨园区的VLAN、波及全网的广播域和所有交换机都参与的生成树是几乎不现实的，因此安全域隔离不能简单采用VLAN，而

5、必须使用MPLS VPN或VRF，这也是当前大规模园区网的设计准则和惯例。为实现该设计，所有核心和汇聚层设备全部应该实配支持所有端口的MPLS VPN硬件封装和转发，并与虚拟防火墙配合实现虚拟安全域VRF，并在每个安全域内拥有自己的地址规划、路由协议、虚拟防火墙、虚拟安全策略等等，完全实现与物理设备的无关性。虚拟防火墙当前防火墙的主要功能不仅仅是互联网出口使用，xx公司内部网络功能分区、数据中心业务控制都需要防火墙实现，因此xx公司网络的管理员需要管理几十个安全域之间的访问控制。传统网络构架下，管理员需要关心每个安全域的网络接口和VLAN、防火墙上的板卡、业务部门和防火墙之间的物理连接、，需要

6、维护几十个安全域中两两的安全域访问关系，每当网络中新增或移走一个安全域，或者一个安全域的访问策略发生变化，他需要一方面做很多物理部署上的更改和相关的网络配置，另外他还要重新考虑一遍新变化的安全域和所有其它安全域之间的控制策略，如果企业业务急速发展，变更频繁，这样的工作将变得异常挑战，也极易出现安全管理漏洞。在虚拟防火墙的帮助下，xx公司的管理员就可以这样来管理网络：他可以为每一个业务安全域分配一个虚拟防火墙，每个虚拟防火墙有自己业务部门的一套入策略和出策略，而虚拟防火墙完全在网络设备内的防火墙模块内构造，当安全域的变更和策略的变更出现时，他只要负责创造新的虚拟防火墙，为新的虚拟防火墙分配新的网

7、络连接端口，为有新变化的那个安全域变更他的入策略或出策略，他几乎不用再关心任何物理上的更改和部署，以及安全域之间复杂的相互关系，甚至他可以把管理权限下放给每个业务部门的应用管理员，他们只有登录自己虚拟防火墙的口令和只有更改自己业务部门访问策略的权限，他们只需要知道简单的访问控制策略命令，网络管理员就可以把变更访问控制策略这样例行的繁琐工作交给这些更熟悉自己部门业务逻辑的应用人员，而他自己做好资源的分配、用户账户和行为的监管即可。而利用虚拟化，管理员同样可以将多个防火墙模块的资源分配给这些不同虚拟防火墙，实现物理设备资源调配的最大化，提高的设施的投资效率。不仅如此，如果一个安全域内的防火墙遭受攻

8、击或存在病毒，也只影响这个安全域内的虚拟防火墙，只需要将该虚拟防火墙重置即可，完全不影响其它虚拟防火墙工作。利用虚拟防火墙我们还可以不用再担心一个物理防火墙的资源是否足够，虚拟防火墙可以帮助实现防火墙设备间的负载均衡。虚拟交换机面向服务的网络架构下的交互服务层的本质是将各种底层资源能够以与物理形态无关的方式实现自由调度，包括网络的路由交换资源。采用虚拟交换机技术就可以实现当xx公司使用交换机资源时，可以不用关心交换服务的物理存在方式，它可能是由一台交换机提供，也可能是两台交换机设备，甚至可以是一个交换机中的几个虚拟交换机之一。xx公司的交换核心和数据中心部署的交换机可以采用将两个物理交换机虚拟

9、为一台交换机的虚拟交换系统技术（VSS），以增大吞吐能力，降低管理复杂性。VSS虚拟交换技术可将网络的双核心虚拟化为单台设备，比如两台9插槽设备完全被虚拟化成为单台18槽机箱的虚拟交换机。虚拟交换机性能倍增、管理复杂度反而减半。具体有如下优势：l 单一管理界面：管理界面完全为单台设备管理方式，管理和维护工作量减轻一半；l 性能翻倍：虚拟交换系统具备两台叠加的性能，与其它交换机通过跨物理机箱的双千兆以太网或双万兆以太网捆绑技术，远比依靠路由或生成树的负载均衡更均匀，带宽和核心吞吐量均做到真正的翻倍。l 协议简单：虚拟交换系统与其它设备间的动态路由协议完全是单台设备与其它设备的协议关系，需维护的路

10、由邻居关系数以二次方根下降，在本系统中可达45倍下降，工作量和部署难度大大降低；虚拟交换系统同时作为单台设备参与生成树计算关系，生成树计算和维护量以二次方根下降，在本系统中可达45倍下降，工作量和部署难度大大降低。l 冗余可靠：虚拟交换系统形成虚拟单机箱、物理双引擎的跨机箱冗余引擎系统，下连接入交换机原来需要用动态路由或生成树实现冗余切换的，在VSS下全都可以用简单的链路捆绑实现负载均衡和冗余，无论是链路还是引擎，冗余切换比传统方式更加迅捷平滑，保持上层业务稳定运行。1.2.3、 自动化自动化是面向服务的网络架构下上层自动优化的实现服务调用的理想境界。在高度整合化和虚拟化的基础上，服务的部署完

11、全不需要物理上的动作，资源在虚拟化平台上可以与物理设施无关的进行分配和整合，这样xx公司只需要将一定的业务策略输入给智能网络，一切的工作都可以按系统自身最优化的方式进行计算、评估、决策和调配实现。如，网络监测、分析和响应系统（Monitoring, Analysis & Response System，MARS）能够感知网络中发生的各种安全事件，包括网络的拓扑、设备的配置、地址转换、各种安全设备的记录、流量状况和分布等等，然后加以智能分析、关联和过滤，最终发现不同安全等级的安全威胁，并把他们形象的表示在管理员的拓扑图上，最重要的是可以即时根据安全事故的具体情况产生相应的补救策略，自动完成网络相

12、关设备的配置，实现真正自动、自主的主动安全防御。因此MARS是一种自动调用底层资源实现安全服务的机制。另外数据中心可以采用VFRAM技术，可以根据输入的业务逻辑，自动按最优化资源来配置智能网络中的虚拟网、虚拟防火墙、服务器虚拟化软件、虚拟存储、虚拟负载均衡等设施，自动完成包括安全、存储、计算等在内的数据中心业务部署规划，最大限度的减少管理复杂度，提高了物理资源使用效率，而管理漏洞和差错则降为最低。以上两种自动化服务部署技术都将在xx公司的基础整合和虚拟化部署到一定程度后逐步进行实施。1.3、 高安全性设计xx公司的电子资产需要高安全性的自防御网络才能确保安全。xx公司的网络安全必须从四个方面进

13、行加强：网络基础设施、终端、内容和应用。网络基础设施安全 边界安全：全网划分安全区域，区域边界进行安全控制。 入侵防御：在核心交换区、互联网接入区、数据中心等关键部位部署入侵检测系统。 VPN：出差或者移动用户必须通过VPN接入内部网络。 无线网络安全：全网的无线网络均必须采用集中控制式的无线网络构架。 设备内置安全特性：尽可能使用交换机和路由器集成的安全特性。终端安全 网络准入控制：网络对所有终端设备的接入进行认证、授权，检查终端是否符合企业安全策略（包括操作系统、防病毒系统、其他软件及设置等），并且可以对不符合要求的终端进行隔离和自动修复。 终端防护：通过安装安全代理软件，防止重要终端遭受

14、零日攻击及敏感信息泄漏。内容安全 邮件安全：在互联网接入区部署邮件安全网关实现高效的垃圾邮件过滤、邮件病毒过滤。 Web安全：在互联网接入区部署Web安全网关，防范钓鱼攻击、恶意插件、不良网站等对内部用户的攻击。应用安全 应用防火墙：在数据中心部署应用安全网关实现应用深度检测，检查应用协议行为是否符合策略，数据是否合法。 SSL加速：在数据中心部署SSL加速设备，提高使用SSL的应用的速度，减少延迟，并且降低服务器和应用系统负荷1.4、 高可用性设计网络的可用性将直接影响ERP等系统的可用性。xx公司网络的可靠性设计必须考虑以下几个方面：设备、链路、网络层、应用案例。设备级 硬件冗余：所有汇聚

15、和核心设备均必须具备冗余电源，企业自备部分硬件板卡作为冷备。 软件可靠性：核心交换区、数据中心的核心设备内置的软件系统必须采用模块化系统。链路级 广域网：分支机构和工业园区与集团总部的广域网线路至少有两条，两条广域网线路相互热备份并且负载均衡。 园区网：汇聚交换机（含）以上设备均使用双链路连接；光纤链路采用UDLD技术防止光纤单向联通。网络级 使用VSS虚拟交换技术：核心交换区、数据中心及其他区核心交换机均使用VSS虚拟交换技术，将2台设备虚拟为1台。 动态路由协议：广域网和园区网均使用动态路由协议，如OSPF，确保网络快速收敛。 GLBP：在所有核心和汇聚设备上均启用GLBP协议，同时实现网

16、关热备份和负载均衡。1.5、 广域网加速(WAAS)设计在总部和分支机构（工业园区）之间采用广域网加速可以节约广域网带宽、加速ERP及办公应用响应、上收服务器。在总部和各分支机构分别部署WAAS设备，就可以实现广域网加速。WAAS设备部署必须具备如下特性： 部署对网络透明，不改变网络地址、路由等规划，不影响广域网服务质量QOS及安全策略的实施和部署； 具有旁路功能，不会由于设备故障导致网络中断； 对xx公司的大部分应用，如HTTP、FTP、邮件、ERP系统、文件共享等均可进行高效的优化和加速。2、 分阶段实施建议2.1、 阶段一：网络主干、数据中心及基础设施安全第一阶段的建设重点是保障ERP系

17、统的开通以及基本的安全。网络主干包括核心交换区、骨干网接入区、总部办公网络、分支机构网络等部分的有线和无线网络，网络和设备管理。数据中心包括核心交换机（集成防火墙、入侵防御、服务器负载均衡等）、服务器接入交换机、存储交换机等部分。基础设施安全包括内部网络安全域边界控制、重要区域入侵检测、VPN、无线网络安全、设备内置安全部署、网络安全管理等方面。现有的核心设备过于陈旧，性能、功能和可靠性均不能满足要求，因此本阶段将对使用新的核心路由器、核心交换机替换原有设备，新增数据中心核心交换机。原有核心路由器Cisco7507将作为新核心路由器的冷备份，原有核心交换机将部署到工业园区继续使用。本阶段暂时不考虑设备冗余，因此