网络解决方案技术建议书.docx

《网络解决方案技术建议书.docx》由会员分享，可在线阅读，更多相关《网络解决方案技术建议书.docx（75页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、网络解决方案技术建议书目 录1 网络总体设计方案11.1 网络总体网络设计原则11.2 网络总体架构22 网络详细设计方案32.1 VLAN及IP规划32.1.1 VLAN概述32.1.2 VLAN功能划分32.1.3 VLAN规划原则42.1.4 VLAN规划建议42.1.5 IP规划概述52.1.6 IP地址规划原则52.1.7 DHCP规划72.1.8 DNS规划72.2 虚拟化设计92.2.1 横向虚拟化设计92.2.2 纵向虚拟化设计122.3 安全设计132.3.1 安全概述132.3.2 网络安全方案142.3.3 边界安全方案152.4 运维设计222.4.1 设备简易运维管理

2、222.4.2 网络质量感知242.4.3 网络管理软件eSight252.4.4 eSight部署规划方案263 设备推荐293.1 S7700系列293.2 S5700系列全千兆企业交换机323.3 安全接入网关353.4 AR1200系列企业路由器404 设备清单415 售后服务承诺435.1.1 售后服务435.1.2 售后服务体系434.1.3全国服务网络444.1.4强大的管理、技术和服务团队446 售后服务期466.1.1 设备厂商、维修服务466.1.2 售后服务466.1.3 基本服务Common Service486.1.4 增值服务Value-added Service5

3、26.1.5 专家服务Expert Service546.1.6 标准服务流程566.1.7 巡检及健康检查流程566.1.8 工作流程576.1.9 故障处理流程586.1.10 技术支持流程606.1.11 现场服务流程636.1.12 重大故障处理流程646.1.13 备品备件流程676.1.14 故障事件总结， 统计分析 报告流程686.1.15 知识库706.1.16 客户服务中心的组成716.1.17 服务管理平台731 网络总体设计方案1.1 网络总体网络设计原则网络设计，注重的是网络的简单可靠、易部署、易维护。因此在网络中，拓扑结构通常以星型结构为主，较少使用环网结构（环网结构

4、较多的运用在运营商的城域网络和骨干网络中，可以节约光纤资源）。基于星型结构的网络设计，通常遵循如下原则：l 层次化将网络划分为核心层、汇聚层、接入层。每层功能清晰，架构稳定，易于扩展和维护。l 模块化将网络中的每个功能区划分为一个模块，模块内部的调整涉及范围小，易于进行问题定位。l 冗余性关键设备采用双节点冗余设计；关键链路采用Trunk方式冗余备份或者负载分担；关键设备的电源、主控板等关键部件冗余备份。提高了整个网络的可靠性。l 安全隔离网络应具备有效的安全控制。按业务、按权限进行分区逻辑隔离，对特别重要的业务采取物理隔离。l 可管理性和可维护性网络应当具有良好的可管理性。为了便于维护，应尽

5、可能选取集成度高、模块可通用的产品。1.2 网络总体架构图1-1 网络架构该组网结构具有如下特点：l 以核心节点为“根”的星型分层拓扑，架构稳定，易于扩展和维护。l 各功能分区模块清晰，模块内部调整涉及范围小，易于进行问题定位。l 双节点冗余设计，关键链路均采用Trunk链路，保证网络的可靠性。l 支持各种业务终端接入，一张IP网络承载所有业务。2 网络详细设计方案2.1 VLAN及IP规划2.1.1 VLAN概述VLAN是将LAN内的设备逻辑地而不是物理地划分为一个个网段，从而实现在一个LAN内隔离广播域的技术。当网络规模越来越庞大时，局部网络出现的故障会影响到整个网络，VLAN的出现可以将

6、网络故障限制在VLAN范围内，增强了网络的健壮性。2.1.2 VLAN功能划分n 用户VLAN用户VLAN即普通VLAN，也就是我们日常所说的业务VLAN，是用来对不同端口进行隔离的一种手段。VLAN通常根据业务需要进行规划，需要隔离的端口配置不同的VLAN，需要防止广播域过大的地方配置VLAN用于减小广播域。VLAN最好不要跨交换机，即使跨交换机，数目也需要限制。n Voice VLANVoice VLAN是为用户的语音数据流划分的VLAN，用户通过创建Voice VLAN并将连接语音设备的端口加入Voice VLAN，可以使语音数据集中在Voice VLAN中进行传输，便于对语音流进行有针

7、对性的QoS配置，提高语音流量的传输优先级，保证通话质量。n Guest VLAN网络中用户在通过802.1x等认证之前接入设备会把该端口加入到一个特定的VLAN（即Guest VLAN），用户访问该VLAN内的资源不需要认证，只能访问有限的网络资源。用户从处于Guest VLAN的服务器上可以获取802.1x客户端软件，升级客户端或执行其他应用升级程序（例如：防病毒软件、操作系统补丁程序等）。认证成功后，端口离开Guest VLAN加入用户VLAN，用户可以访问其特定的网络资源。n Multicast VLANMulticast VLAN即组播VLAN，组播交换机运行组播协议时需要组播VLA

8、N来承载组播流。组播VLAN主要是用来解决当客户端处于不同VLAN中时，上行的组播路由器必须在每个用户VLAN复制一份组播流到接入组播交换机的问题。2.1.3 VLAN规划原则一个二层网络规划的基本原则：l 区分业务VLAN、管理VLAN和互联VLANl 按照业务区域划分不同的VLANl 同一业务区域按照具体的业务类型（如：Web、APP、DB）划分不同的VLANl VLAN需连续分配，以保证VLAN资源合理利用l 预留一定数目VLAN方便后续扩展2.1.4 VLAN规划建议VLAN根据多种原则组合划分。l 按照逻辑区域划分VLAN范围：例1：核心网络区：100199服务器区：200999，预

9、留10001999接入网络：20003499业务网络：35003999例2：规划NAC方案时，使用动态VLAN情况下，VLAN可划分为认证前域Guest VLAN、隔离域Isolate VLAN、认证后域VLAN三类。实际部署时可以按职能部门分配VLAN，同时预留Guest VLAN和隔离VLAN。l 按照地理区域划分VLAN范围例如：接入网络A的地理区域使用20002199接入网络B的地理区域使用22002399l 按照功能模块划分VLAN范围例如：安全监控网络使用20002009企业办公网使用20102019l 按照业务功能划分VLAN范围例如：Web服务器区域：200299APP服务器区

10、域：300399DB服务器区域：400499IP Phone、打印机等哑终端使用单独的VLAN上线。IP Phone需要为其配置Voice VLAN，提高语音数据的优先级，保证语音质量。建议为AP规划独立的管理VLAN。2.1.5 IP规划概述考虑到后期扩展性，在网络IP地址规划时主要以易管理为主要目标。网络中的DMZ区或Internet互联区有少量设备使用公网IP，网络内部使用的则是私网IP。IP地址是动态IP或静态IP的选取原则如下：l 原则上服务器，特殊终端设备（打卡机，打印服务器，IP视频监控设备等）和生产设备建议采用静态IP。l 办公用设备建议使用DHCP动态获取，如办公用PC、IP

11、电话等。2.1.6 IP地址规划原则n IP地址规划的原则l 唯一性一个IP网络中不能有两个主机采用相同的IP地址。即使使用了支持地址重叠的MPLS/VPN技术，也尽量不要规划为相同的地址。l 连续性连续地址在层次结构网络中易于进行路径叠合，大大缩减路由表，提高路由算法的效率。l 扩展性地址分配在每一层次上都要留有余量，在网络规模扩展时能保证地址叠合所需的连续性。l 实意性“望址生意”，好的IP地址规划使每个地址具有实际含义，看到一个地址就可以大致判断出该地址所属的设备。n 网络IP地址基本分类l Loopback地址为了方便管理，会为每一台路由器创建一个Loopback接口，并在该接口上单独

12、指定一个IP地址作为管理地址。Loopback地址务必使用32位掩码的地址。最后一位是奇数的表示路由器，是偶数的表示交换机，越是核心的设备，Loopback地址越小。l 互联地址互联地址是指两台网络设备相互连接的接口所需要的地址，互联地址务必使用30位掩码的地址。核心设备使用较小的一个地址，互联地址通常要聚合后发布，在规划时要充分考虑使用连续的可聚合地址。l 业务地址业务地址是连接在以太网上的各种服务器、主机所使用的地址以及网关的地址，业务地址规划时所有的网关地址统一使用相同的末位数字，如：.254都是表示网关。l 网络内部的IP地址建议使用私网IP地址，在边缘网络通过NAT转换成公网地址后接

13、入公网。汇聚交换机下接入的网段可能有很多，在规划的时候需要考虑路由是可以聚合的，这样可以减少核心网络的路由数目。l 无线设备的IP地址AC IP地址一般通过静态手工配置。由于AP数量较多，手动配置IP地址工作量大且容易出错，建议采用DHCP动态给AP分配IP地址。DHCP动态分配AP的IP地址时，可以采用指定地址池分配和统一分配两种方式。2.1.7 DHCP规划网络中办公网络、商业WiFi建议使用DHCP，每个DHCP网段应保留部分静态IP供服务器等设备使用。n DHCP部署基本架构l 在数据中心或服务器区部署独立的DHCP Server。l 在汇聚层网关部署DHCP Relay指向DHCP

14、Server统一分配地址。l DHCP一般通过VLAN分配地址，如有特殊要求，在接入交换机部属Option82，由接入交换机提供的Option82信息分配地址。图2-1 DHCP划分n DHCP部署基本原则l 固定IP地址段和动态分配IP地址段保持连续。l 按照业务区域进行DHCP地址的划分，便于统一管理及问题定位。l DHCP需要跨网段获得IP地址时，启动DHCP Relay功能。l 启动DHCP安全功能，禁止非法DHCP Server的架设和非法用户的接入。2.1.8 DNS规划n DNS服务器的角色划分l Master服务器：主服务器作为DNS的管理服务器，可以增加、删除、修改域名，修改

15、的信息可以同步到Slave服务器，一般部署1台。l Slave服务器：从服务器从Master服务器获取域名信息，采用多台服务器形成集群的方式，统一对外提供DNS服务，一般采用基于硬件的负载均衡器提供服务器集群的功能。一般部署2台从服务器。l Cache服务器：缓存服务器用于缓存内部用户的DNS请求结果，加快后续的访问。一般部署在Slave服务器上。n DNS服务器的IP地址l Master服务器：采用企业内网地址。l Slave服务器：分配企业私网地址，并在负载均衡器上分配一个虚拟的企业内网地址。Internet域名地址有两种方案：l 一种是在防火墙上做NAT映射，把Slave服务器的虚拟地址

16、映射为一个公网IP地址，用于外部Internet用户的访问。l 另一种是在链路负载均衡设备上通过智能DNS为外部Internet用户提供服务。n DNS可靠性设计众多内部用户发送DNS请求，被均匀分担到Slave DNS1和DNS2。当Slave DNS1服务器故障后，所有的DNS请求被分发给Slave DNS2。最终DNS服务器必须及外部DNS通讯。Master 服务器，建议放置在DMZ区域，并在同区内部建立Slave DNS服务器。如只对内提供服务的DNS服务器，可以作为二级的DNS服务器，放入其他非DMZ区域。当所有的Slave DNS都故障后，用户发送的DNS请求无响应。用户就切换到备

17、DNS，由Master DNS处理所有的请求。图2-2 DNS规划2.2 虚拟化设计2.2.1 横向虚拟化设计网络核心、汇聚节点均建议采用CSS设计，可以提高单节点设备可靠性，一台交换机故障，另外一台交换机自动接管故障设备上的所有业务，可以做到业务无损切换。设备虚拟化通过跨设备的Trunk链路，提升链路级可靠性，并且流量可以均匀分布在Trunk成员链路上，提高链路带宽利用率，一条或多条链路故障后，流量自动切换到其他正常的链路。网络配置和维护简单，网络二层接入网不需要配置复杂的二层环网和保护倒换协议，二层链路故障能直接感知快速切换。三层网络中多个设备间共享路由表，网络故障路由收敛速度快。网络管理

18、和维护难度大大降低，此方案适应面广，扩展性强，是未来网络的发展趋势。可以提高网络故障的收敛时间。通过虚拟化及Trunk相结合的方式，可以将传统网络中协议的收敛时间转化为Trunk内部成员的选路时间。链路聚合技术的收敛不涉及复杂的协议计算，也不涉及网络协议的重新收敛，因此效率上要高出很多，华为公司的交换机在某些场景可以达到10ms左右的收敛时间，比之网络协议收敛的秒级要提高了100倍。CSS2（Cluster Switch System Generation2，第二代集群交换机系统），又被称为集群，是指将多台支持集群特性的交换机设备虚拟化为一台交换机设备（目前支持2台），从逻辑上组合成一台整体交

19、换设备。图2-3 CSS2集群CSS2系统建立后，根据协议的计算，将出现一个主交换机，一个备交换机。在控制平面上，主交换机的主用主控单元成为CSS2的系统主，作为整个系统的管理主角色；备交换机的主用主控单元成为CSS2的系统备，作为系统的管理备角色；主交换机和备交换机的备用主控单元作为CSS2的候选系统备，不具有管理角色。S12700主控交换分离，备板只作为备用主控，无交换网功能。l 简化管理和配置集群形成后，两台核心设备物理虚拟成为一台设备，用户可以通过任何一台成员设备登录集群系统，对集群系统所有成员设备进行统一配置和管理，需要管理的设备节点减少一半。其次，组网中逻辑上看变得简单，原来需要的

20、STP/Smart Link/VRRP等冗余备份协议，在使用CSS2后都不再需要了。l 提高链路利用率通过跨框Trunk，用户可以将不同成员设备上的物理以太网端口配置成一个聚合端口，这样不仅不用配置STP等协议，而且Trunk的多条链路之间可以对流量做负载分担，提高了链路的利用率，较STP等阻塞链路的方式要好很多。l 交换网集群现有技术支持交换网板上支持插集群卡。通过连接交换网集群卡端口，建立交换网集群。交换网集群及下文的控制面集群差异是控制报文的转发路径。交换网集群是通过交换网集群端口转发控制报文，控制面集群是通过控制面集群口转发控制报文。两种模式下，数据报文都通过交换网集群端口转发。交换网

21、集群及CSS集群卡集群比较： 启动性能提升(交换网板及MPU并行启动) 连线简单 扩展性更强(主控交换合一架构受限于主控数目) 拔主控不断流 主备倒换0丢包 故障感知更优于业务口集群(集群口故障中断上报)交换网集群及业务口集群比较 不占用业务端口 转发路径更短 拔主控0丢包 流量更均衡(业务口需要二次hash) 故障感知更优于业务口集群(集群口故障中断上报) 业务口集群最多两块板、交换网集群最多4块板。 广播流量无阻塞（业务口集群，两组备份的集群链路中需要阻塞其中一路。交换网集群，集群链路无需阻塞）。l 单主控集群S12700主控和交换分离，主控板不在位时不影响转发。S12700支持主框和备框

22、仅一个主控时可建立集群，即S12700支持单主控集群。单主控集群，可以减少客户部署成本。S12700备框主控故障，业务不中断。S12700备框主控都拔出时，备框的数据转发不受影响。图2-4 单主控集群2.2.2 纵向虚拟化设计SVF（Super Virtual Fabric）又称为纵向堆叠技术，是一种更加集中化的设备管理方案，真正做到了SVF架构内设备的通过管理和运维。可以将有线无线网络全部集中到核心./汇聚上进行统一管理、集中维护。达到整个网络一个管理节点的目的。l 设备管理可以将一个SVF系统视为一个虚拟的框式设备，其中SVF-Parent就是这台虚拟框式交换机的主控板，SVF-Clien

23、t就是这台虚拟框式交换机的有线口接口板，而AP可以看作是无线端口接口板。图2-5 设备管理l 版本管理SVF-Client的版本都保存在SVF-Parent上，当SVF-Client接入SVF系统后，可以自动从SVF-Parent上获取版本文件并加载，整个过程免人工操作。图2-6 版本管理l 配置下发SVF-Client的配置类似于框式交换机接口的配置，用户使用的命令行都在SVF-Parent上操作，不需要在SVF-Client上直接输入。在SVF-Parent上对应每个SVF-Client（堆叠设备是为一个Client）分配一个ID，SVF-ID范围是101-148，AP不占用SVF-ID。

24、在配置SVF-Client端口时，在现有的端口表示方式基础上（当前方式是：框号/卡号/端口号，如Ge2/0/1），新增一个SVF-ID号，这样端口表示变为四维：SVF-ID/框号/卡号/端口号，如Ge102/2/0/1，表示ID为102的SVF-Client上的Ge2/0/1端口。l 状态监控SVF系统内，SVF-Client不再作为独立设备对外体现，SVF-Client的告警信息也不再以独立设备的形式上报，而是统一汇总到SVF-Parent上，在SVF-Parent上查看和上报网管。2.3 安全设计2.3.1 安全概述随着智能化的发展，对于网络的依赖性不断增强。但病毒、木马、间谍软件、网络攻

25、击等各种信息安全威胁也在不断增加。统计表明，网络安全已经超过对网络可靠性、交换能力和服务质量的需求，成为用户最关心的问题，网络安全基础设施也日渐成为网建设的重点。在传统的网络建设中，一般认为网络内部是安全的，威胁主要来自外界。在网络边界上，一般使用防火墙、IDS/IPS作为安全设备。随着安全挑战的不断升级，仅通过传统的安全措施和独立工作的形式进行边界防御已经远远不够了，安全模型需要由被动模式向主动模式转变，从根源终端彻底解决网络安全问题，提高整个企业的信息安全水平。目前网络安全一般从网络监管、边界防御、接入安全及远程接入等方面进行考虑。接入安全主要指导网络内的安全接入，包括终端安全接入控制，例

26、如：用户隔离，端口隔离等；远程接入涉及分支机构、出差人员对网络内部的安全访问；边界防御通过防火墙、IPS/IDS对网络出口，网络内的各个组织单元之间进行有效防护和隔离。2.3.2 网络安全方案网络的安全是网络安全最基本的保证。这里主要从交换机的安全特性上的使用来保证网络的安全。包括DHCP Snooping、ARP防攻击、MAC防攻击、IP源防攻击等。这些安全特性工作于OSI模型的链路层，可在接入层交换机上部署。n DHCP SnoopingDHCP Snooping是DHCP（Dynamic Host Configuration Protocol）的一种安全特性，通过截获DHCP Clien

27、t和DHCP Server之间的DHCP报文进行分析处理，可以过滤不信任的DHCP报文并建立和维护一个DHCP Snooping绑定表。该绑定表包括MAC地址、IP地址、租约时间、绑定类型、VLANID、接口等信息。DHCP Snooping部署在二层设备上面，一般部署在接入交换机上。n DAI-ARP欺骗动态ARP检测（Dynamic ARP Inspection）应用在设备的二层接口上，利用DHCP Snooping绑定表来防御ARP攻击。当设备收到ARP报文时，将此ARP报文中的源IP、源MAC、端口、VLAN信息和DHCP Snooping绑定表的信息进行比较。如果信息匹配，说明是合法

28、用户，则允许此用户的ARP报文通过；否则，认为是攻击，丢弃该ARP报文。n ARP限速ARP报文限速功能是指对上送CPU的ARP报文进行限速，可以防止大量ARP报文对CPU进行冲击。例如，在配置了ARP Detection功能后，设备会将收到的ARP报文重定向到CPU进行检查，这样引入了新的问题。如果攻击者恶意构造大量ARP报文发往设备，会导致设备的CPU负担过重，从而造成其他功能无法正常运行甚至设备瘫痪，这个时候可以启用ARP报文限速功能来控制上送CPU的ARP报文的速率。n MAC泛洪MAC泛洪攻击是指攻击主机通过程序伪造大量包含随机源MAC地址的数据帧发往交换机。有些攻击程序一分钟可以发

29、出十几万条伪造源MAC地址的数据帧，交换机根据数据帧中的MAC地址进行学习，但一般交换机的MAC地址表容量也就几千条，交换机的MAC地址表瞬间被伪造的MAC地址填满，交换机的MAC表填满后，交换机再收到数据，不管是单播、广播还是组播，交换机都不再学习MAC地址，如果交换机在MAC地址表中找不到目的MAC地址对应的端口，交换机就像集线器一样，向所有端口广播数据，这样就可能造成广播风暴。在华为交换机上，可以通过对MAC学习限制及流量抑制的功能来防止MAC泛洪攻击。MAC学习限制是指限制MAC学习的数目。华为交换机支持在接口、VLAN、槽位和VSI四个方面对MAC学习数目进行限制。同时，华为交换机支

30、持对未知单播、广播及组播流量进行速度限制。通过对MAC学习限制及流量抑制，可以有效地防范MAC泛洪攻击。n IP Source GuardIP源地址防护能够限制二层不信任端口的IP流量。它采取的方法是，通过DHCP绑定表或手动绑定的IP源地址来对IP流量实行过滤此特性可以阻止IP地址欺骗攻击，也就是主机通过把自己的源IP地址修改成其他主机的IP地址实现的攻击。任何从不信任的端口入站的IP流量，只要其源地址及指定(DHCP Snooping或静态绑定表)的IP地址不同，就会被过滤掉。IP源地址及防护特性需要在不信任的二层接口上和DHCP Snooping共同使用。IP源地址防护会生成一个IP源地

31、址绑定表，并且对这个列表进行维护。这个列表既可以通过DHCP学习到也可以手动配置。列表中的每个条目都包括IP地址及及这个IP地址所关联的MAC地址及VLANID。n MFF技术网络中，通常使用MFF（MAC-Forced Forwarding）实现不同客户端主机之间的二层隔离和三层互通。MFF截获用户的ARP请求报文，通过ARP代答机制，回复网关MAC地址的ARP应答报文。通过这种方式，可以强制用户将所有流量（包括同一子网内的流量）发送到网关，使网关可以监控数据流量，防止用户之间的恶意攻击，能更好的保障网络部署的安全性。2.3.3 边界安全方案n 边界防护概述所谓网络边界，是指网络及其他网络的

32、分界线。对边界进行安全防护，首先必须明确哪些网络边界需要防护，这可以通过安全分区设计来确定。定义安全分区的原则就是首先需要根据业务和信息敏感度定义安全资产，其次对安全资产定义安全策略和安全级别，对于安全策略和级别相同的安全资产，就可以认为属于同一安全区域。网络边界是网络的重要组成部分，负责对网络流量进行最初及最后的过滤，因此边界安全的有效部署对整网安全意义重大。n 边界防护安全设计一般而言，一个完整的安全部署包括边界路由器、边界防火墙、IPS、边界防毒墙、边界流量分析监控等安全部件及各安全部件之间的协同工作。这些部件仅仅依靠各自自身的力量是无法提供完整的网络安全。只有这些部件的功能相互补充，相

33、互结合，协同工作才能形成一个立体的防御结构。l 边界路由器路由器在网络中承担路由转发的功能，它们将流量引导进入网络、流出网络或者在网络中传输，由于边界路由器具有丰富的网络接口，一般置于Internet出口或广域网出口，是流量进入和流出之前我们可以控制的第一道防线。l 边界防火墙防火墙设备通过一组规则决定哪些流量可以通过而哪些流量不能通过防火墙。防火墙可以对边界路由器不能监控的流量进行更加深入地分析和过滤，并能够按照管理者所确定的策略来阻塞或者允许流量经过。华为Eudemon系列防火墙支持安全域管理、攻击防范、ASPF、NAT等功能，通过这些功能保障网络安全。l 安全域管理华为防火墙采用基于安全

34、区域的隔离模型，每个安全区域可以按照网络的实际组网加入任意接口，因此防火墙的安全管理模型不会受到网络拓扑的影响。不同的安全区域之间的访问设计不同的安全策略组（ACL访问控制列表），每条安全策略组支持若干个独立的规则。这样的规则体系使得统一安全网关的策略十分容易管理，方便用户对各种逻辑安全区域的独立管理。基于安全区域的策略控制模型，可以清晰地分别定义从trust到untrust、从DMZ到untrust之间的各种访问，这样的策略控制模型使得华为统一安全网关的网络隔离功能具有很好的管理能力。l 攻击防范攻击防范功能是防火墙必备的功能之一，常见的攻击类型有DOS攻击、扫描窥探攻击、畸形报文攻击等等。

35、l ASPF过滤技术ASPF是一种高级通信过滤技术，它检查应用层协议信息并且监控基于连接的应用层协议状态。防火墙依靠这种基于报文内容的访问控制，能够对应用层的一部分攻击加以检测和防范，包括对于、RTSP、SIP等的检测。l NATNAT的基本原理是仅在私网主机需要访问Internet时才会分配到合法的公网地址，而在内部互联时则使用私网地址。当访问Internet的报文经过NAT网关时，NAT网关会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换进行记录；之后，当报文从Internet侧返回时，NAT网关查找原有的记录，将报文的目的地址再替换回原来的私网地址，并送回发出请求的主机。这样

36、，在私网侧或公网侧设备看来，这个过程及普通的网络访问并没有任何的区别。在实现方式上，NAT可以分为Basic NAT、NAPT方式、NAT Server方式、EASY IP方式、DNS Mapping方式等。l P2P流量检测和流量控制防火墙支持的P2P流量检测和流量控制功能： 支持基于规则文件的特征检测和行为检测，规则文件可以升级更新 支持基于ACL的用户策略控制 支持上下行的不同限流 支持协议优先级的动态调整 支持各种协议检测的打开和关闭 支持基于时间段的分时段限流对P2P流量可以限定在一个范围内，这样不但可以使得用户自由的使用P2P软件，也不会造成因为P2P流量对网络造成太大的冲击。例如

37、：支持迅雷、沸点、BT、Kugoo、PPGou、Poco/pp、Baibao、BitComet、Kazaa/FastTrack、Emule/eDonkey、PPSTREAM、UUSee、PPLive、QQLive、TVAnts、BBSEE、Vagaa、Mysee、Soulseek等P2P协议检测和流量控制。l URL过滤华为防火墙的URL过滤功能采用了先进的模式匹配引擎算法，大大减少了URL匹配的时间，凭借先进的软硬件性能，能够快速地处理大量的URL访问请求。防火墙支持远程URL分类服务器，远程URL分类服务器提供了细粒度的URL资源种类，使用全面而准确的后台URL资源分类数据库，自动化地实现

38、对用户访问URL的自动分类。另外，防火墙支持本地URL分类功能，用户可以自定义个性化URL资源访问控制的功能。并且可以将URL访问控制策略和时间、IP地址、分类访问控制列表等关键策略进行关联，从而实现基于时间、用户和访问类别等策略的URL过滤功能。另外，防火墙支持本地URL黑/白名单功能，支持基于前缀匹配、后缀匹配、关键字匹配、精确匹配和参数匹配等。l IPS/IDS随着互联网的不断发展，黑客攻击技术也出现了许多新的变化，这也促使网络安全产品不断的更新换代。一种新型的安全防护产品-网络入侵防御系统应运而生。网络入侵防御系统作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动对各类攻

39、击性的流量，尤其是应用层的威胁进行实时阻断，而不是在监测到恶意流量的同时或之后才发出告警。这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵保护解决方案。IPS安全网关产品可以部署在企业网络出口处或者重要服务器前面，提供主动的、实时的防护。准确检测2到7层的网络异常流量，自动对各类攻击的流量，尤其是应用层的威胁进行实时阻断。IPS系统自身的安全非常重要，必须能够抵御那些常规的网络安全威胁：如病毒的感染、蠕虫的传播，不可使用通用的处理器及操作系统等。这些都有周知的漏洞，很容易被利用进行入侵攻击。而IPS的检测粒度非常细，由此系统必须具备高性

40、能的数据报处理及转发能力，不然低效的IPS系统将成为网络的性能瓶颈。网络上很多应用服务器（如HTTP、SMTP、IMAP4、MSRPC、NETBIOS、SMB、MS_SQL、TELNET、IRC、DNS等）在设计中并不完善，如对协议中的异常情况考虑不足。因此黑客常利用协议的漏洞对服务器发起攻击。他们向服务器发送非标准或者缓冲区溢出的协议数据，从而夺取服务器控制权或者造成服务器宕机。IPS能够检测、识别网络流量的协议异常（包括协议遵从性、参数合法性等）并加以阻断。网络中常包含大量黑客攻击、病毒、特洛伊木马、恶意软件等恶意流量。这些恶意流量都有各自不同的签名（特征）。因此，必须有专业的安全分析工程

41、师对这些恶意网络流量进行深入分析，提取相应的特征码并形成签名。IPS根据签名库，使用特征检测引擎对网络中传输的数据包进行高速匹配，从而对命中签名规则的流量进行阻断等方式进行响应动作。IPS的检测引擎和签名库，对于入侵检测的效果具有重要意义。优秀的检测引擎算法极大程度影响检测的速度；全面而准确的签名库能够有效防御大量威胁，减少误报。有了优秀的检测引擎及签名库，IPS能够更好的检测各类攻击，如最新病毒、特洛伊木马、恶意软件等进行检测防御。IPS的特征检测引擎和签名库必须支持有效升级，以保证能够应对不断变化着的网络威胁。通常情况下，IPS设备的工作步骤如下： 捕获网络数据包 重组数据包，包括流重组和

42、分片重组 对数据包进行协议识别，有基于端口的识别和基于内容的识别 将数据包送入检测引擎匹配 最后根据引擎检测结果及安全策略采取响应动作所谓IDS联动，指IDS设备能自动侦听整个网络中是否存在恶意攻击、入侵或其他安全隐患行为，通过下发指令的方式通知防火墙，由防火墙对攻击报文进行丢弃或其它处理。采用IDS联动方式进行攻击防范，入侵检测和攻击处理两个过程有效分离，充分发挥了各设备的优势，改善了系统性能。华为防火墙除了自身提供强劲的攻击防范能力外，还能够和专业的IDS（Intrusion Detective System）设备联合组网，即IDS设备外置。由于IDS设备包含非常完备的攻击行为信息，因此联

43、合组网将充分发挥IDS设备高效、全面的安全保障能力。通过和IDS设备联动，防火墙可以提供一种高可靠的主动防御模型。通过这种主动防御的模型，提供了高可靠的安全解决方案。用户先配置好基本的静态安全策略，通过IDS设备可以动态发现安全隐患，通过防火墙设备修改安全策略，起到实时、动态的修改防御策略，保证了整网的安全。华为防火墙提供灵活的联动接口协议，可以和很多IDS设备互通，方便地支持各种IDS设备和防火墙联合工作。l 边界防病毒近年来计算机病毒趁着网络信息化的热潮，不断骚扰和破坏人们正常的工作秩序。病毒已逐渐成为网络安全的祸首，严重的病毒爆发将直接导致网络的瘫痪，在边界安全防护中也同样要考虑对病毒的

44、防护。华为防火墙提供了Anti-Virus防病毒功能，防病毒功能采用了先进的病毒检测引擎和病毒库，病毒检出率非常之高。防火墙的病毒引擎支持启发式扫描，对网络上传输的代码文件进行深入的行为分析，采取对需要扫描的文件进行逻辑分析以及行为分析，通过这种方式，可以很大程度的发现一些行为异常的程序，发现未知的病毒。遍布全球的病毒检测点和和专业病毒分析团队，可以实时发现网络最新病毒，并且通过病毒分析团队确认和分析病毒特征，及时的生成最新病毒库。防火墙通过可以多种方式升级或更新病毒库，实现病毒的实时检测。病毒库支持自动定时升级、实时升级、本地升级和回退功能。边界防护组网设计由于防火墙及IPS/IDS等一般是

45、部署在同一个地方，且华为防火墙同时支持防火墙及IPS功能，因此，边界组网设计图中仅画出防火墙。l Internet网络出口防护对企业总部或大型分支机构，一般在网络出口部署双防火墙，两防火墙呈主备或负载均衡的方式工作。如图3-11所示，在核心交换机及网络路由器之间采用直路全双归方式接入防火墙设备，两台防火墙设备之间采用主备或负载均衡方式连接。这样，网络出口路由器、防火墙及核心路由器之间都有备份作用，保证了链路的可靠性。防火墙E8000E放置在总部出口，主要承担以下功能: 启用防火墙攻击防范以及访问控制，抵御外来的各种攻击。 根据需要启用地址转换功能，满足出口公网不足的需要。 根据需要开启虚拟防火

46、墙功能，通过不同的虚拟防火墙及各大客户对应，将不同的服务器群用VPN隔离开。 启用L2TP VPN的功能，允许出差移动用户通过拨号的方式接入不同的VPN，访问不同VPN里的业务或者设备。图2-7 网络出口典型组网除了直路全双归，防火墙的接入方式还有及交换机双归，及路由器口字型、及交换机路由器都口字型及旁挂。图2-8 防火墙出口连接方式-及交换机双归、及路由器口子型图2-9 防火墙出口连接方式-及交换机口子型、及路由器口子型图2-10 防火墙出口连接方式-旁挂l 域间防护网络出口部署的防火墙可以解决网络内部网络及外部网络之间的安全问题，但研究表明，80%的网络安全漏洞都存在于内部网络。因此，内部

47、的安全防护更为重要。当网络划分安全区域后，在不同信任级别的安全区域之间就形成了网络边界。在网络内部，不同的业务部门、研发中心、办公中心可能都具有不同的安全策略。从安全的角度讲，在各个不同的部门、研发中心、办公中心、数据中心、DMZ区域的出口都部署防火墙是最理想的。也可以在核心层部署防火墙，将各业务部门划分在不同的VPN中，防火墙采用虚拟防火墙的方式管理各安全域的安全策略。2.4 运维设计2.4.1 设备简易运维管理随着网络技术的飞速发展，网络规模也在不断扩大，客户需要管理和维护多大几十台甚至上百台的设备，弊端显而易见，因此客户对简化网络设备管理的需求越来越迫切。比如设备安装、软件升级、故障定位和设备更换等工作花费网络管理人员的大部分时间，其中，有些工作简单重复、效率低下。如何对网络设备进行批量、自动管理，成为企业IT部门面临的严重挑战。Easy Operation是一个简化