xx公司网规划.doc

xx公司网络规划 建议书  网络总体结构 按照模块化、层次化的设计思想，xx公司的理想中的网络总体结构如下图所示： 整个网络可以分为集团和分支机构（及工业园区）两部分，两者通过广域网络进行连接。 集团网络可以分为核心交换区、骨干网接入区、数据中心、办公区、互联网接入区、网络管理区六个部分。核心交换区是全网的数据交换核心，负责高速数据转发；骨干网接入区是所有分支机构（及工业园区）的广域网汇聚点，并且提供广域网应用加速功能；数据中心集中接入和管理所有业务和办公服务器及存储，并且对各项服务包括ERP系统进行安全防护、负载均衡、SSL加速和卸载等；办公区是集团用户终端接入区域；互联网接入区域提供互联网访问、流量控制、VPN接入、对外服务等功能；网络管理区负责管理基础网络、网络设备以及网络安全。 分支机构（及工业园区）网络包括广域网接入、广域网应用加速、局域网等部分。 从结构图可以看出，核心交换区、骨干网络接入区、数据中心是整个企业网络的主干，对可用性、安全性等方面有很高的要求。 面向服务架构的实现 整合化 面向服务的架构要求将智能网络所需的各种资源实现网络整合，这是后续上层业务能看到底层网络提供各类服务的基础。xx公司网络设计中特别实现了以下集成整合能力： 大吞吐量千兆/万兆平台：园区网的发展趋势是Any Over Ethernet，为实现包括存储（FCoE）、高性能计算等等在内一体化整合平台，核心交换区和数据中心均部署高密度、超大吞吐量的千兆/万兆转发平台。 交换机集成智能转发功能：核心交换区和数据中心部署的交换机的所有实配端口都集成硬件化的智能转发功能，包括符合RFC3954的Netflow，实现跨IP子网端口镜像的GRE隧道，NAT、MPLS PE、IPv6组播、单播反向路径检查（uRPF）、控制平面保护（Control Plane Policing）等等，整合业界最全面硬件智能转发功能，为提供智能服务打下良好基础。 集成各种业务处理模块：核心交换区和数据中心部署的交换机均支持防火墙模块、IDS/IPS模块、管道清洗（防御DDoS）模块、网络协议分析（发现异常流量）模块、VPN（IPSec/SSL）模块、应用优化控制（负载均衡）模块、无线控制模块、存储模块、媒体网关模块、广域网模块……等等，从而可以把完整的高层智能功能下放到基础设施内完成，为形成交互服务层功能打下基础。 虚拟化 虚拟化是实现物理资源复用、降低管理维护复杂度、提高设备利用率的关键，同时也是为未来自动资源协调和配置打下基础。xx公司网络设计了三个关键的虚拟化技术： MPLS VRF技术 VLAN/VPN技术实现的是连通性的虚拟化。由于xx公司园区网络规模较大，构造横跨园区的VLAN、波及全网的广播域和所有交换机都参与的生成树是几乎不现实的，因此安全域隔离不能简单采用VLAN，而必须使用MPLS VPN或VRF，这也是当前大规模园区网的设计准则和惯例。为实现该设计，所有核心和汇聚层设备全部应该实配支持所有端口的MPLS VPN硬件封装和转发，并与虚拟防火墙配合实现虚拟安全域VRF，并在每个安全域内拥有自己的地址规划、路由协议、虚拟防火墙、虚拟安全策略等等，完全实现与物理设备的无关性。 虚拟防火墙 当前防火墙的主要功能不仅仅是互联网出口使用，xx公司内部网络功能分区、数据中心业务控制都需要防火墙实现，因此xx公司网络的管理员需要管理几十个安全域之间的访问控制。传统网络构架下，管理员需要关心每个安全域的网络接口和VLAN、防火墙上的板卡、业务部门和防火墙之间的物理连接、……，需要维护几十个安全域中两两的安全域访问关系，每当网络中新增或移走一个安全域，或者一个安全域的访问策略发生变化，他需要一方面做很多物理部署上的更改和相关的网络配置，另外他还要重新考虑一遍新变化的安全域和所有其它安全域之间的控制策略，如果企业业务急速发展，变更频繁，这样的工作将变得异常挑战，也极易出现安全管理漏洞。 在虚拟防火墙的帮助下，xx公司的管理员就可以这样来管理网络：他可以为每一个业务安全域分配一个虚拟防火墙，每个虚拟防火墙有自己业务部门的一套入策略和出策略，而虚拟防火墙完全在网络设备内的防火墙模块内构造，当安全域的变更和策略的变更出现时，他只要负责创造新的虚拟防火墙，为新的虚拟防火墙分配新的网络连接端口，为有新变化的那个安全域变更他的入策略或出策略，他几乎不用再关心任何物理上的更改和部署，以及安全域之间复杂的相互关系，甚至他可以把管理权限下放给每个业务部门的应用管理员，他们只有登录自己虚拟防火墙的口令和只有更改自己业务部门访问策略的权限，他们只需要知道简单的访问控制策略命令，网络管理员就可以把变更访问控制策略这样例行的繁琐工作交给这些更熟悉自己部门业务逻