XX区教育城域网及资源中心规划方案 保密
? 高性能:核心汇聚层需要与其它外部网络互联,外连接口众多,并且这些外部网络所提供
的接入带宽和接入设备都是业界高端设备,所以为了使网络在核心交换区不存在性能瓶颈,采用具备高密万兆的核心交换设备.
? 整网可靠性:因为城域网数据中心网络业务系统具有高可靠性设计,业务层面最大限度的
保障业务转发不中断、不丢包。因此建议在核心交换部分采用主控和交换网板分离的核心交换机,提高网络可靠性,使整网可靠性方面不存在短板。
? 绿色环保:为了降低机房空调能耗,要求核心交换机采用竖插槽,前下部进风、上后部抽
风、强迫风散热形式。要求通过RoHS、CE等国际环保认证。
核心层部署IRF2.0协议将两台S10508虚拟化成逻辑的1台交换机实现了跨S10508链路聚合,通过虚拟化后的逻辑设备与下行接入层交换机5830V2进行互联,最终实现了核心S10508与接入5830之间逻辑点对点连接后消除环路的同时避免部署STP和VRRP协议。
3.1.4.2. 接入层设计
接入层交换机采用全万兆云平台接入交换机H3C 5830V2。未来每台服务器将会部署多台虚拟资源对外响应业务,考虑到每个业务能够保证访问的带宽要求,建议每台计算资源服务器与接入交换万兆互联,同时每台接入层交换机采用2个10GE接口与核心交换机相连,保证数据中心互访的高效。
21
杭州华三通信技术有限公司
XX区教育城域网及资源中心规划方案 保密
3.1.4.3. 网络安全设计
为了应对云计算环境下的流量模型变化,安全防护体系的部署需要朝着高性能的方向调整。在本次项目的建设过程中,多条高速链路汇聚成的大流量已经比较普遍,在这种情况下,安全设备必然要具备对高密度的10GE甚至100G接口的处理能力;无论是独立的机架式安全设备,还是配合数据中心高端交换机的各种安全业务引擎,都可以根据用户的云规模和建设思路进行合理配置;同时,考虑到云计算环境的业务永续性,设备的部署必须要考虑到高可靠性的支持,诸如双机热备、配置同步、电源风扇的冗余、链路捆绑聚合、硬件BYPASS等特性,真正实现大流量汇聚情况下的基础安全防护。
目前,虚拟化已经成为云计算提供“按需服务”的关键技术手段,包括基础网络架构、存储资源、计算资源以及应用资源都已经在支持虚拟化方面向前迈进了一大步,只有基于这种虚拟化技术,才可能根据不同用户的需求,提供个性化的存储计算及应用资源的合理分配,并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。安全无论是作为基础的网络架构,还是基于安全即服务的理念,都需要支持虚拟化,这样才能实现端到端的虚拟化计算。典型的示意图如图所示:
本次项目防火墙插卡设备虽然部署在交换机框中,但仍然可以看作是一个独立的设备。它通过交换机内部的10GE接口与网络设备相连,它可以部署为2层透明设备和三层路由设备。防火墙与交换机之间的三层部署方式与传统盒式设备类似。
22
杭州华三通信技术有限公司
XX区教育城域网及资源中心规划方案 保密
如上图FW三层部署所示,防火墙可以与宿主交换机直接建立三层连接,也可以与上游或下游设备建立三层连接,不同连接方式取决于用户的访问策略。可以通过静态路由和缺省路由实现三层互通,也可以通过OSPF这样的路由协议提供动态的路由机制。如果防火墙部署在服务器区域,可以将防火墙设计为服务器网关设备,这样所有访问服务器的三层流量都将经过防火墙设备,这种部署方式可以提供区域内部服务器之间访问的安全性。
防火墙是网络系统的核心基础防护措施,它可以对整个网络进行网络区域分割,提供基于IP地址和TCP/IP服务端口等的访问控制;对常见的网络攻击方式,如拒绝服务攻击(ping of death, land, syn flooding, ping flooding, tear drop)、端口扫描(port scanning)、IP欺骗(ip spoofing)、IP盗用等进行有效防护;并提供NAT地址转换、流量限制、用户认证、IP与MAC绑定等安全增强措施。
对于云计算数据中心虚拟机服务网关的选择上,建议根据不同租户的安全需求进行区分对待,不建议将所有网关配置在FW上,以分散FW的压力,满足租户内的安全域隔离,具体设计如下:
对于需要FW的业务的租户,网关部署在vFW上; 对于不需要FW的普通租户,网关部署在核心交换机上。
23
杭州华三通信技术有限公司
XX区教育城域网及资源中心规划方案 保密
安全控制策略:
防火墙设置为默认拒绝工作方式,保证所有的数据包,如果没有明确的规则允许通过,全部拒绝以保证安全;
建议在两台防火墙上设定严格的访问控制规则,配置只有规则允许的IP地址或者用户能够访问数据业务网中的指定的资源,严格限制网络用户对数据业务网服务器的资源,以避免网络用户可能会对数据业务网的攻击、非授权访问以及病毒的传播,保护数据业务网的核心数据信息资产;
配置防火墙防DOS/DDOS功能,对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范,可以实现对各种拒绝服务攻击的有效防范,保证网络带宽;
配置防火墙全面攻击防范能力,包括ARP欺骗攻击的防范,提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等,全面防范各种网络层的攻击行为;
24
杭州华三通信技术有限公司
XX区教育城域网及资源中心规划方案 保密
根据需要,配置IP/MAC绑定功能,对能够识别MAC地址的主机进行链路层控制,实现只有IP/MAC匹配的用户才能访问数据业务网中的服务器;
其他可选策略:
可以启动防火墙身份认证功能,通过内置数据库或者标准Radius属性认证,实现对用户身份认证后进行资源访问的授权,进行更细粒度的用户识别和控制;
根据需要,在两台防火墙上设置流量控制规则,实现对服务器访问流量的有效管理,有效的避免网络带宽的浪费和滥用,保护关键服务器的网络带宽;
根据应用和管理的需要,设置有效工作时间段规则,实现基于时间的访问控制,可以组合时间特性,实现更加灵活的访问控制能力;
在防火墙上进行设置告警策略,利用灵活多样的告警响应手段(E-mail、日志、SNMP 陷阱等),实现攻击行为的告警,有效监控网络应用;
启动防火墙日志功能,利用防火墙的日志记录能力,详细完整的记录日志和统计报表等资料,实现对网络访问行为的有效的记录和统计分析;
3.1.5. 云平台计算资源池设计
服务器是云计算平台的核心,其承担着云计算平台的“计算”功能。对于云计算平台上的服务器,通常都是将相同或者相似类型的服务器组合在一起,作为资源分配的母体,即所谓的服务器资源池。在这个服务器资源池上,再通过安装虚拟化软件,使得其计算资源能以一种虚拟服务器的方式被不同的应用使用。这里所提到的虚拟服务器,是一种逻辑概念。对不同处理器架构的服务器以
25
杭州华三通信技术有限公司
三通两平台材料三通两平台整体方 - 图文
