绵阳毅德商贸城物流园区网络安全建设方案

1 绵阳毅德商贸城物流园区网络安全建设方案1.1概述

随着VoIP、高清视频、Web2.0、云计算等新技术的广泛应用，网络数据传输容量出现了几何级增长，据吉尔德定律预示，未来25年，带宽每六个月将增加一倍。如此飞速增长的数据业务不仅将使网络架构变得非常复杂，也将面临网络安全、应用体验性、业务持续可用等巨大挑战。传统的解决方法是使用大容量交换设备之外部署防火墙、IPS、流量控制、应用交付等深度业务处理设备，这种网络层与业务层相分离的架构初期比较灵活，但却只能适用于小型网络，主要原因有：

■设备的不断叠加使得网络变得越来越复杂，并带来大量单点故障

■数据报文的多次重复解析和处理，造成网络性能的衰减和延迟的增加■多厂商、多设备间相互兼容困难，特别是随着网络规模和组网模式的不断革新，难以实现性能、功能、接口的按需扩展

■网络与安全技术兼容困难，如MPLS VPN、IPv6、虚拟化等

■各设备间物理和逻辑都是分割的，无法统一管理

很显然，这种“葫芦串”的简单叠加模式看似合理，但已远远落后于用户业务需求的增长速度，不仅会耗费大量人力物力，造成资源的浪费，同时也会使得网络变得异常复杂，带来可靠性、性能、扩展能力、网络兼容性、管理等大量新问题。

1.2网络安全系统设计

如何有效解决上述问题，在大容量线速无阻塞转发条件下，保证网络及业务的安全、快速、可用？随着网络标准化、虚拟化、智能化程度的不断提高，只有

通过将交换、应用和业务进行深度整合，并借助虚拟化技术实现网络层和业务层的无缝融合，才能达到简化网络架构、提高网络效率、在融合过程中保护用户既有资源的目的。

本次绵阳毅德商贸城物流园区网络的建设将采用迪普科技DPX8000系列深度业务交换网关。DPX8000系列产品基于DPtech自主知识产权的ConPlat软件平台，集业务交换、网络安全、应用交付三大功能于一体。在提供IPv4/IPv6、MPLS VPN、不间断转发、环网保护等丰富网络特性基础上，还可以提供应用防火墙、IPS、UAG、异常流量清洗/检测、应用交付等深度业务的线速处理，是目前业界业务扩展能力最强、处理能力最高、接口密度最高的深度业务交换网关，旨在满足运营商、数据中心、大型企业的高性能网络深度业务处理需要。

1.2.1总体网络结构

网络结构将采用大型园区网典型的层次化、模块化组网结构。

层次化结构的优势

采用层次化结构有如下好处：

●节约成本：园区网络意味着巨大的业务投资正确设计的园区网络可以提

高业务效率和降低运营成本。

●便于扩展：一个模块化的或者层次化的网络由很多更加便于复制、改造

和扩展的模块所构成，在添加或者移除一个模块时，并不需要重新设计

整个网络。每个模块可以在不影响其他模块或者网络核心的情况下投入

使用或者停止使用。

●加强故障隔离能力：通过将网络分为多个可管理的小型组件，企业可以

大幅度简化故障定位和排障处理时效。

标准的网络分层结构

层次化结构包括三个功能部分，即接入层、分布层和核心层，各层次定位分别如下：

●核心层：是企业数据交换网络的骨干，本层的设计目的是实现快速的数

据交换，并且提供高可靠性和快速的路由收敛。

●分布层：也称为汇聚层。主要汇聚来自接入层的流量和执行策略，当第

三层协议被用于这一层时可以获得路由负载均衡，快速收敛和可扩展性

等好处。分布层还是网络智能服务的实施点，包括安全控制、应用优化

等智能功能都在此实施。

●接入层：负责提供服务器、用户终端、存储设施等等的网络第一级接入

功能，另外网络智能服务的初始分类，比如安全标识、QoS分类将也是

这一层的基本功能。

绵阳毅德商贸城物流园区的网络结构

根据业界企业网络最佳设计实践参考，在边缘节点端口较少的小型网络中，可以考虑将核心层与分布层合并，小型网络的网络规模主要由接入层交换机决定。但对于绵阳毅德商贸城物流园区而言，结合绵阳毅德商贸城物流园区的业务现状及发展趋势，我们可以看到未来几年内业务处于一个高速成长期，必须在本期网络架构中充分考虑未来的可扩展性。所以绵阳毅德商贸城物流园区企业内部核心网络层次结构必须具有以上严格清晰的划分，即具有清晰的核心层、会聚分布层、接入层等分层结构，才能保证网络的稳定性、健壮性和可扩展性，以适应业务的发展。

绵阳毅德商贸城物流园区的业务应用特点又决定了核心层将相对接入的网络模块较少，只有楼层汇聚接入、数据中心汇聚接入、广域网接入等三块，如果采用单独的大容量物理核心设备将造成浪费，而如果采用低端核心设备则会对业务相对繁忙的数据中心汇聚形成瓶颈，也影响网络整体的稳定性。鉴于此，我们采用大规模核心层设备DPX8000-A12深度业务交换网关作为核心，但虚拟化为两套交换机，一套用于全网核心，一套用于数据中心汇聚。这样做的优势如下：

●逻辑上仍然是清晰的两套设备，完全保持了前述网络分层结构的优势。

●在性能上实现了网络核心和数据中心汇聚交换机资源的共享和复用，非

常好的解决了核心层数据量和数据中心数据量可能存在较大差异的问

题。

●以较低的投入升级了数据中心汇聚交换机的能力（相当于可以与核心层

复用1.152Tbps以上的交换能力），适于下一阶段要进行的云计算数据

中心三网融合的资源需求。

●减少了设备数量，降低了设备投入成本、功耗开销和维护管理的复杂度。

绵阳毅德商贸城物流园区新一代数据中心整体网络结构如下图所示：

网络安全域边界数据流量分析如下图

网络安全域边界防护分析如下图

•物流园区网络整体按用户、业务类型、使用单位及安全域防护需求及安全等

级，共分为5个安全域；划分各安全区；安全区内再细分各接入单元；

1.数据中心服务器域

➢后期会接入到20～50台服务器、需考虑未来FCoE万兆存储技术的应用、海量视频查询调用

➢本区域细分普通服务器区、重要服务器区、核心服务器区、视频监控服务器区等业务安全分区，服务器区互访需要各类安全防护，所以网关均终结在边界的DPX8000-A12深度业务交换网关。

➢防火墙、IPS入侵防御安全业务功能需要考虑未来支持15~30G的边界扩展流量。

➢ADX服务器负载均衡安全业务功能只需要考虑做虚拟化集群服务器流量，所以考虑5~10G性能

2.运维管理域

➢本区域细分为网络管理区、安全管理区、运维监控区及统一通讯管理平台。

➢防火墙、IPS入侵防御安全业务功能需要考虑支持2G的边界扩展流量。

3.互联网接入域

➢本区域考虑互联网视频查询、内部租户上网，物流园区内部办公上网及与总部内网VPN安全互联。

➢采用电信、联通、移动三家运营商各300M线路提供服务，边界流量为900M。

➢防火墙需要具备IPSEC VPN及SSL VPN硬件加解密性能。

➢内网租户和园区办公网互联网带宽通过流控审计设备进行精细化分配管理，上网行为日志根据公安部要求保留60天。

➢防火墙、IPS入侵防御、ADX链路负载均横及流控审计业务安全功能需要考虑支持1G的边界流量。

4.租用用户接入域

➢本区域主要考虑以太光纤组网，万兆光纤上连至核心交换，内部千兆到桌面，考虑