华为IP城域网网络安全和优化解决方案.ppt

* * * * * 对于网络的可扩展性，我们集中在下列方面进行设计： 1、网络业务规划： 对 目前的业务和将来可能运行的业务作出综合的考虑，并反映在网络设计中，使得现在设计的网络，能够应付将来的业务需要。 2、网络结构设计： 按照 网络的大小，采用合理的层次化设计模型，最大可能 的提高可扩展性。 3、网络设备/链路选型： 如果需要在网络中增加设备，或更改链路，我们会根据需要选择合适的网络设备和链路类型，这些设备的选择综合考虑了将来的 因素。 4、路由策略设计： 选择合适的路由协议和路由策略，使得效率最高，也便于将来的扩展。 * * 优化现有数据网络、构造一个安全稳定的成熟网络成为企业面临的急迫问题。 * 优化现有数据网络、构造一个安全稳定的成熟网络成为企业面临的急迫问题。 * 优化现有数据网络、构造一个安全稳定的成熟网络成为企业面临的急迫问题。 * * 对于网络的可扩展性，我们集中在下列方面进行设计： 1、网络业务规划： 对 目前的业务和将来可能运行的业务作出综合的考虑，并反映在网络设计中，使得现在设计的网络，能够应付将来的业务需要。 2、网络结构设计： 按照 网络的大小，采用合理的层次化设计模型，最大可能 的提高可扩展性。 3、网络设备/链路选型： 如果需要在网络中增加设备，或更改链路，我们会根据需要选择合适的网络设备和链路类型，这些设备的选择综合考虑了将来的 因素。 4、路由策略设计： 选择合适的路由协议和路由策略，使得效率最高，也便于将来的扩展。 * 对于网络的抗攻击能力，我们建议按照胶片上的四个方面来部署。 * 各个要点解释如下： 1、完善的链路备用方案： 对于一些关键性的链路，尤其是网络 核心层设备之间的连接链路，我们建议采用全网状或半网状的拓扑结构，对于一些重要的汇聚层设备或接入层设备，我们建议采用双链路上行。 2、合理的路由策略规划： 采用合理 的路由协议，并进行合理的区域划分和策略实施，尽量使用路由聚合技术，减少路由表，同时做到局部影响最小（所谓局部影响最小，即假如接入层的一条链路故障，不会影响核心层的设备）。 3、可靠的设备备用机制： 对于一些重要的网络设备，比如连接核心服务器的以太网交换机等，我们建议采用双备用或多备用的方式，这样即使一台设备出现问题，其他设备依然可以正常工作。 * 各个要点解释如下： 1、长远的业务规划： 在规划网络的时候，考虑目前的业务和将来可能出现的业务，并对这些业务需要留下余地。 2、分层的网络结构设计： 在设计网络的时候，我们主张按照分层的结构设计，对于大型的网络，我们主张按照核心层，汇聚层和接入层三个层次进行设计，对于一些小型的网络，我们主张按照核心层和接入层的结构设计。这样的设计可以大大提高网络的效率和可扩展性。 3、通用的接口 ，协议： 在选择链路类型时，我们建议选择比较常用的，高效的链路类型，比如POS,GE,FE,DDN等，对于一些效率比较低的接口类型，比如ATM,X25等，我们尽量避免，这样可以方便将来的扩充，也会大大的提高效率。在选择网络协议时，我们建议使用成熟的协议，比如TCP/IP协议。 * 各个要点解释如下： 1、安全的用户接入鉴权： 对于网络用户，我们建议进行合理的权限设计，使对应用户的权限刚刚适合用户的需求，对于拨号接入用户的鉴权，我们建议安装专门的用户鉴权和认证服务器（RADIUS服务器）。 2、周密的用户访问控制： 周密的考虑用户对网络可能有的访问，并作出周密的控制，在网络设备上，设置用户名和密码进行TELNET访问控制，在 服务器上，对用户进行合理的分级，并赋予每级用户合理的权限。 3、统一的网络管理方案： 设置集中的网管系统，对网络的运行信息和配置信息进行集中监控。 4、完善的网络 日志系统： 安装专门用于日志信息收集的服务器（SYSLOG服务器），对 网络设备和服务器设备的日志系统进行集中的收集和管理。 * 各个要点解释如下： 1、安全的用户接入鉴权： 对于网络用户，我们建议进行合理的权限设计，使对应用户的权限刚刚适合用户的需求，对于拨号接入用户的鉴权，我们建议安装专门的用户鉴权和认证服务器（RADIUS服务器）。 2、周密的用户访问控制： 周密的考虑用户对网络可能有的访问，并作出周密的控制，在网络设备上，设置用户名和密码进行TELNET访问控制，在 服务器上，对用户进行合理的分级，并赋予每级用户合理的权限。 3、统一的网络管理方案： 设置集中的网管系统，对网络的运行信息和配置信息进行集中监控。 4、完善的网络 日志系统： 安装专门用于日志信息收集的服务器（SYSLOG服务器），对 网络设备和服务器设备的日志系统进行集中的收集和管理。 * 各个要点解释如下： 1、安全的用户接入鉴权： 对于网络用户，我们建议进行合理的权限设计，使