网络工程规划与设计案例教程项目三_任务二_网络出口方案设计.doc

网络出口方案设计 目 录 1. 校园网出口方案 1 1.1 拓扑结构设计 1 1.2 出口设计说明 2 1.2.1 网络高速 2 1.2.2 网络安全 6 2. 广电行业安全出口设计 11 2.1 拓扑结构 11 2.2 设计说明 11 2.3 网络防御部署效果 12 2.3.1 网络入侵防御部署效果 12 2.3.2 病毒及恶意代码部署效果 12 2.3.3 安全审计部署效果 12 校园网出口方案 拓扑结构设计 图1 总体拓扑出口设计说明 本方案中，校园网出口体现了高速和安全特点，设备采用网络出口引擎、上网行为管理、热点缓存和VPN。其中高速体现的是：网络出口引擎，热点缓存。 安全侧重的是上网行为管理和VPN，具体如图2所示。 图2 高速安全出口架构 网络高速 网络高速主要体现用户互联网浏览信息畅通无阻，本方案设计一台网络出口引擎和一台热点缓存最大程度提高用户上网体感。 根据对学校现有网络的调查，新校区有三条运行商线路接入，分别是联通、移动和电信，总带宽将达到2G，分别由三条线路负载。这种情况要求网络出口引擎设备具备多接口满足接口需求，具备高转发性和高稳定性，能够满足1万5千人的实际需求，可升级2万人的空间。 （1）高速网络出口引擎 本次选用华为USG5530，如图3所示。USG5530是华为公司面向大中型企业机构和数据中心设计的新一代防火墙/UTM（United Threat Management，统一威胁管理）设备。USG5530基于业界领先的软、硬件体系架构，在政府、金融、电力、电信、石油、教育、工业制造等行业得到广泛应用。USG5530使用的NG-Switch技术是下一代交换网应用领域中的领先技术，NG-Switch提供全双工256Gbps的交换带宽。这意味任意槽位的上行流量在硬件处理上都可以达到线速转发，不会存在任何性能瓶颈，直接的用户体验就是交换时的千兆到万兆线速汇聚。USG5530采用了独有的“All-Flow加速技术”，能够基于全部流量进行加速转发，不光包括了报文的快速转发，对于攻击防范和带宽控制等安全业务同样也能全流量加速。USG5530的All-Flow加速技术能大幅降低应用对CPU 等资源的占用，提高了整机处理性能。 USG5530还提供了丰富的扩展接口卡，除了高密度的GE光/电接口卡，还有线速的万兆接口卡，另外，USG5530还提供了光链路和电链路的BYPASS保护卡，能够在出现硬件或电源故障时有效的保护用户业务不中断。 图3 USG5530产品外观 1）全新的硬件架构? USG5530是万兆级别的安全网关产品，USG5530的硬件架构是基于“专用多核CPU”+“NG-Switch技术”+“All-Flow加速技术”。USG5530在为客户带来高质量安全防护的基础上，大幅提升了高性能的用户体验。? USG5530采用了强大的专用多核CPU，专用的网络处理器能为用户的网络业务进行高效处理，同时摒弃了与网络无关的多余CPU的指令。USG5530的多核CPU中集成多个高主频CPU?Core，能同时支撑多个线程的运行，这种多线程处理的特性，不仅通过多核之间通过高速通道进行消息传递的技术大幅提升了CPU处理效率，也解决了单核或双核处理器对实时任务处理的缺陷和不可靠性，。USG5530的专用多核CPU能够很好的适应所有复杂安全任务的处理要求，例如深度的应用协议解码、文件识别、安全漏洞检测等任务。 USG5530使用的NG-Switch技术是下一代交换网应用领域中的领先技术，NG-Switch提供全双工256Gbps的交换带宽。这意味任意槽位的上行流量在硬件处理上都可以达到线速转发，不会存在任何性能瓶颈，直接的用户体验就是交换时的千兆到万兆线速汇聚。 USG5530采用了独有的“All-Flow加速技术”，能够基于全部流量进行加速转发，不光包括了报文的快速转发，对于攻击防范和带宽控制等安全业务同样也能全流量加速。USG5530的All-Flow加速技术能大幅降低应用对CPU 等资源的占用，提高了整机处理性能。 USG5530还提供了丰富的扩展接口卡，除了高密度的GE光/电接口卡，还有线速的万兆接口卡，另外，USG5530还提供了光链路和电链路的BYPASS保护卡，能够在出现硬件或电源故障时有效的保护用户业务不中断。USG5530还提供了功能强大的监控系统，可实现对主板、接口卡、风扇和电源的管理、监控和维护。 2）万兆多核全新硬件平台，为您打造业务永续的网络 性能优异，实现海量业务处理：32G防火墙吞吐，15K并发VPN隧道，大容量NAT转换能力，轻松实现海量业务处理； 高密度万兆接口，适应不同应用场景需求：56千兆+14万兆的高密度接口，为提前跨入万兆时代的您提供不同组网情况下的安全防