8个硬件端口优先级:
优先级12345678应用方式控制VoIP数据存储http 或者网上贸易Oracle/SQLE-MAIL视频传输预留优先级网络传输、路由、STP等对延迟敏感的语音技术,小型数据包对延迟敏感的语音技术,大型数据包网站之间的传输网站之间的数据传输收发邮件网络培训或者视频会议为将来可能的应用或者网络管理员制定的具有特殊性的应用预留 ? 业务最强的分组分类能力。Extreme8810能够根据IP数据包前80字节
的任一位或组合进行分类,因此可以实现最细的业务分类能力,轻易区分不同类型的流量。
? 全Diff-Serv标准的分组分类能力。交换机均能支持全64个级别的
Diffserv分类、重写(remark)标准及8个802.1p分类重写(remark)标准。保证QOS的全网实施且与其它厂家兼容。
? 业界唯一的最小带宽保证,最高带宽限速能力。每个QOS队列均能保
证最小的保证带宽,及最高的允许带宽,及最高的突发带宽。最小带宽保证低优先级的流量不被“饿死”,最高带宽保证该类流量不超量使用,最高突发带宽允许在网络没有瓶颈时可以以最高带宽使用,达到最高的性能。
? 基于双向速率协商机制的区分服务以及双向带宽管理和分配方式确保
了用户的投资和带宽需要;同时利用流量鉴别技术和队列技术对用户的数据传输质量和服务级别进行定义,根据用户的投资提供区别服务。
? 自动QOS映射能力,简化QOS的全网部署。QOS部署要求全网内实施,
也就是说QOS起自客户PC,终于服务器,因此接入层交换机还需识别来自PC的QOS标识,然后自动映射到相应的队列,Extreme8810具备QOS自动映射能力。这样,所有的QOS配置仅需在网络边缘通过网管实施QOS策略。
? Extreme的QOS处理,包括识别,分类,标记,重写,队列,调度,限
速在内,均为ASIC处理,保证不引入额外的时延。
? 通过组合QOS及web/802.1x认证技术,根据不同的用户名指定不同的
QOS及带宽等级。
? 下图是8810和同类产品在不同数据吞吐量情况下高优先级业务的优先
级保证,无论流量大小,Extreme的产品高优先级的业务不受影响。
4.3先进的网络安全设计
一般来说,网络安全体现在以下几个主要方面: ? 网络设备的安全 ? 网络管理系统的安全 ? 网络业务的安全
? 数据传输的安全 ? 用户网络的安全
以上几个方面又是在网络的不同层面来实现的,即骨干层面、管理层面、业务层面、用户接入层面来分别实现。Extreme从如下几个方面着手来保证网络的安全:
4.3.1 设备安全特性
方案中的网络设备本身也采用了多项先进的安全特性来确保对病毒和攻击的免疫能力。本方案中采用的Extreme网络设备,使用LPM转发技术。区别于和其他厂家的传统三层交换机使用基于流表的方式(IP Host Forwarding)来完成数据包的快速转发。基于流表的快速转发机制要求为每个目的地建立一个转发表项,而流表的建立方式,使得每个新数据流的第一个数据包必须经过CPU进行处理,当网络上出现扫描攻击的时候,会导致流表的快速溢出,引起CPU负载快速上升,并最终导致网络设备性能下降,使得整个网络不能进行正常的数据包传输。通过使用LPM转发技术,可以大大缩减快速转发表的大小,提高每条快速转发表表项覆盖的范围,从而很好地解决了流表溢出所带来的问题,大大提高了网络系统抗击病毒攻击的能力,提高了网络系统的可靠性,并最终保证了网络的高性能和高扩展性。
此外,访问控制列表是网络设备数据流量主要过滤的手段,是网络设备的安全防范的重要功能之一。ACL可以根据数据流的MAC地址、IP地址、端口号、ICMP信息、TCP/UDP端口号进行判别,并进行相应数据丢弃、过滤、转发策略(QOS)的实施。有效增强了网络传输的可控性,是网络安全规划的一项主要手段。
然而访问控制列表对数据包的过滤如果通过交换机的CPU来实现,则会造成数据包转发较大的延迟,有再大的背板带宽和很多厂商宣称的线速性能也没有实际意义,转发根本无法达到线速的数据包转发。只有采用基于硬件的ASCI芯片技术实现的数据包过滤才可以满足线速转发的要求。在当前网络安全日益恶化、网络攻击及网络病毒日益泛滥的今天,访问控制列表的作用尤为重要。在网
络设备的选择中,有些厂商甚至连基本的VLAN间访问控制都无法实现,而宣传功能齐全的情况屡见不鲜。所以,能够提供真正权威的第三方测试报告将为我校的设备选择提供一份可靠的依据。
4.3.2用户的安全接入
网络的安全防范,除了设备本身的安全性外,系统的安全准入是网络安全的第一道关口。如果一个局域网内装有无法保证网络安全的端点设备,会造成网络安全受到威胁,因而带来许多痛苦以及财务影响。要避免发生这些威胁网络安全的事件,只是把网络端口关闭或是不让人们在办公大楼里连接上网络是不够的。真正有效的访问控制必须要采取主动,在任何威胁进入到内部的网络资源前,就必须要能很好地确保所有端点设备的安全,不用担心任何威胁的侵入。
Extreme的最新内网安全设备Sentriant AG200 能够满足这个需求。它能提供完整的网络访问控制平台 (Network Access Control platform, NAC)。这个平台使用在多种不同的网络基础建设上,不分任何访问方式(有线、无线、虚拟专用网 – VPN),并与多种端点设备兼容。Sentriant AG200 会自动测试每个端点,并在允许访问网络之前,确定终端设备是否满足组织的安全要求。任一不合标准的设备会被隔离,并限制访问,直到使用多个解决方法修复后,才能给与完全的访问权利。
有了上述专用的安全接入设备,配合交换机的安全功能,Extreme能够提供完善的安全方案。网络用户的接入在某些情况下是需要监督和控制的。为了防止未授权用户私自接入网络,我们可以通过在交换机上实施诸如MAC、IP、VLAN、用户名等多种组合的绑定,来确保阻止非法用户的接入。当前,网络用户采用代理服务器或地址转换技术共享上条线路接入网络的情况也很普遍,而未有很好的解决方案。本方案中安全接入采用如下的技术手段来实现:。
? 本方案支持基于WEB的用户认证技术和IEEE802.1X+EAP标准。通过
该功能,网络系统可以控制用户是否能够接入网络和如何使用网络资源,无论用户的终端设备设备是否配置了正确的IP地址,只有使用设备的用户拥有合法的用户帐号才能接入网络,否则,用户是无法接入网络系统的。这样就可以将非法用户屏蔽在网络之外,减少网络收到黑客
攻击的可能性。
? 用户接入认证技术可以将通过认证的用户动态分配到特定的VLAN中,
通过对VLAN的控制,最终实现对用户可使用网络资源的控制。 ? 提供的基于WEB的用户认证方式,大大降低了实施用户接入技术的复
杂性,用户的终端设备上无需安装特定的客户端软件即可完成用户的接入认证。通过单端口上多用户接入认证技术,可以保证用户接入认证技术的广泛应用以及在异构网络上的实施。
? 支持终端设备的接入控制。通过Extreme网络设备上的MAC地址锁定
和MAC地址限制功能,网络系统可以控制非法设备的接入,进一步提高网络的安全性。
? 强制使用DHCP的能力。在现代企业网络覆盖范围日益扩大和网络结构
日益复杂的今天,越来越多的企业网络通过DHCP方式来实现企业内部IP地址的分配,通过DHCP的使用,系统管理员可以更好的实现网络的优化与管理,降低网络管理的复杂度。但企业内部可能出现的无管理下的静态配置IP地址,将导致IP地址的不可管理性,并会导致因IP地址冲突而带来的网络不可用的问题。利用设备独有的的ARP Learning Disable功能,系统管理员可以针对性地强制网络设备上的某些端口连接的终端设备必须使用DHCP获得的IP地址,否则终端设备不能够接入网络,进而保证网络的安全性。
4.3.3智能化的安全防御措施
网络系统的高速、可靠运行是非常重要的。但随着网络技术的不断发展,新兴的网络病毒与攻击软件与日俱增,对网络造成的危害是前所未有的。最早如SQL蠕虫病毒产生,造成了无法大型网络瘫痪,宽带互联网发生前所未有的阻塞。再到冲击波、振荡波等网络病毒,使得网络管理疲于奔命解救濒临瘫痪的网络系统。网络攻击软件如典型的DOS(拒绝服务攻击)和DDOS(分布式DOS攻击)攻击类型,会造成包括如服务器、网络设备、终端机器在内的各种具有网络接口的设备资源耗尽、系统宕机、网络阻塞。种种情况均使得当前网络系统的安全成为主要攻关课题。
通用方案 数据中心网络建设方案
