随着近年来企业信息化建设的深入,越来越多的企业将公司的除了在将各种运作活动(如:办公、销售、采购、决策、财务和物流等等)信息化并运行在计算机网络之上,企业为了更好的利用计算机网络平台,在提高工作效率的同时降低企业的运营成本,日益将电话、会议、监控等等对数据传输实时要求很高的应也都放在在企业网络上传输。因此,构建一个安全可靠、性能卓越、易于管理的企业网络已经成为企业信息化建设成功的基础。
为适应企业信息化的发展,满足日益增长的通讯需求和网络的稳定运行,今天的企业网络建设比传统企业网络建设提出了更高的要求,主要表现在如下几个方面:
1)高性能、高带宽要求。
今天的企业网络已经不能再用百兆到桌面千兆骨干来作为建网的标准,它的核心层及骨干层必须具有万兆级带宽和处理性能,才能构筑一个畅通无阻的企业网网络,从而适应网络规模扩大,业务量日益增长的需要。
2)高可靠性要求。
现代企业网络应具有更全面的可靠性设计,以实现网络通讯的实时畅通,保障企业生产运营的正常进行。随着企业各种业务应用逐渐转移到计算机网络上来,网络通讯的无中断运行已经成为保证企业正常的生产运营的关键。
3)端到端的QOS保障要求。
在企业网络承载业务的不断增多以及业务类型的复杂化的今天,单纯的提高带宽并不能够有效的保障数据交换的畅通无阻。就象公路交通一样,如果没有很好的交通管理措施,再宽的公路也不能满足畅顺交通的要求。
4)安全性要求
在企业网络已经成为公司生产运营的重要组成部分的今天,现代企业网络必须要有一整套从用户接入控制,病毒报文识别到主动抑制的一系列安全控制手段,才能有效的保证企业网络的稳定运行,也才能更有效地阻击病毒和黑客的攻击,减少企业的经济损失。
5)可管理性。
为了适应网络规模日益扩大所带来的维护工作更加复杂的需要,现代企业网络应具备更智能的网络管理解决方案。
Extreme网络公司作为全球前三位的宽带IP领域的设备供应商,针对以上现代企业网络建设的需求,推出了全面的、可靠的、智能化的千兆交换和万兆交换技术,以满足构建新一代企业园区网络的要求,以促进企业信息化的建设。
Extreme公司企业圆区网解决方案
企业网络建设中的网络结构主要分成以下3个层次:核心骨干层、汇聚层和接入层。在这3个层次的网络设计中,由于应用性质的不同,对网络设备的要求也不相同。
1 企业园区网络的结构设计
作为覆盖整个企业范围的园区网络,它要承载企业各种应用的数据流传输、负责所有信息点的接入。由于覆盖面大,可能遭遇的安全问题、可靠性问题的概率更高。另外,作为承载多种业务的共有数据传输平台,如何更好的实现网络资源的调配、保证各种应用的合理带宽使用就成为网络建设的一个重点。
根据企业主要应用的不同,企业园区网可以采用2种主要网络结构:双星型网络和环型网络结构。当然,企业也可以根据自己的实际需要将2种网络结构融合在一起使用,构成如下网络结构:
 |
|
在企业的园区网络建设中,我们推荐在网络的骨干层采用Extreme网络公司的全新一代万兆核心交换机BlackDiamond 10808或Aspen 8810构建一个高性能、高带宽的万兆级数据交换平台。若考虑到资金投入的限制,可以采用Extreme网络公司的BlackDiamond 68xx系列千兆线速交换机构建一个千兆级别的数据交换平台。利用Extreme网络设备支持的跨模块端口捆绑技术,可以很方便的实现网络带宽的扩容。
在各办公楼宇的核心(即网络的汇聚层)采用Extreme网公司的Alpine38xx系列多层交换机以及summit X450和summit i系列交换机组建网络的汇聚层。
在接入层,对于园区内部专网用户,我们推荐用户采用Extreme网络公司的summit 200/summit 400系列多层以太网交换机完成企业用户的接入。对于在为内部应用提供数据传输服务的同时,还需要提供ISP服务的企业用户,可以使用Extreme 公司的summit i系列交换机来完成用户的接入。为了满足诸如IP电话等多媒体应用的开展,实现以太网口直接供电,用户可以选择Extreme公司提供的支持POE技术的summit 300多层交换机作为接入层设备使用。
2.企业网网络管理解决方案
在现代企业网络日益成为多种业务的传输平台的今天,网络规模越来越大,并且网上应用也变得更加复杂化和多样化,这就使得网络管理与维护的任务日益加重和复杂。
为了满足现代企业网络管理与维护的要求,减低网络管理与维护的工作强度和复杂度,提高工作效率,Extreme公司推出了全面的网络管理解决方案---EPICenter。
Extreme EPICenter 是一套功能全面的网管软件,它使得交换机配置、排除故障、状态监控和基于策略的管理不同厂家产品更加容易 。Extreme EPICenter工具包包括:
- 设备探测---发现和管理网上的设备
- VLAN工具—多个交换VLAN的创建和管理
- Extreme监控工具—对每一台交换机进行全面的配置和状态监控
- 实时统计工具—查看多端口、多交换机数据的实时统计程序
- MAC/IP寻址工具—搜索MAC和IP地址的工具
- 网络拓扑结构管理—管理、生成和监控网络的拓扑图
- 配置管理中心—对全网的配置进行集中的管理
- ESRP/VRRP管理—管理和配置ESRP/VRRP
- 报警系统—对网络的异常进行报警
- 动态报表工具—生成被管理设备的报表
- Administration工具—中心化用户管理和RADIUS鉴别
3.Extreme解决方案的特色与优势
1、网络的高可靠性
Extreme 公司的企业网络解决方案从设备的高可靠性、对应用的高保障性和链路的高可靠性方面都给出了全面的解决方案。它不仅传统的IEEE802.3ad、VRRP、OSPF-ECMP等标准协议提供的可靠性功能,而且还提供诸如:ESRP、EAPS和Hitless failover等高级可靠性技术,为网络提供全面的可靠性保证。
在网络的核心层、汇聚层和接入层使用的网络设备都支持电源冗余备份配置。
2、网络的安全性
Extreme的企业网络解决方案从用户接入和设备两个层面为用户提供了全面的网络安全保证。Extreme的网络设备支持所有的传统安全技术:ACL、VLAN、IP地址与MAC地址绑定、MAC地址与端口绑定等,为了给用户提供更为全面的网络安全保证,Extreme设备还支持如下的安全特性:
- 支持用户接入人证功能。Extreme公司的所有网络设备都支持基于WEB的用户认证技术和IEEE802.1X+EAP标准。通过该功能,网络系统可以控制用户是否能够接入网络和如何使用网络资源,无论用户的终端设备设备是否配置了正确的IP地址,只有使用设备的用户拥有合法的用户帐号才能接入网络,否则,用户是无法接入网络系统的。这样就可以将非法用户屏蔽在网络之外,减少网络收到黑客攻击的可能性。
- 将用户接入认证功能与第三方的网络安全技术(如:sygate)相结合,网络系统可以在对用户合法性进行认证的同时,还可以对用户使用的终端设备的安全性进行检查,确定终端系统是否存在安全漏洞(如是否安装了最新的“补丁”),若终端系统存在安全漏洞,网络系统将可以强制终端设备进行漏洞修补,然后才允许终端和用户接入到网络。这样就可以大大降低网络受到病毒攻击的概率。
- Extreme公司的用户接入认证技术可以将通过认证的用户动态分配到特定的VLAN中,通过对VLAN的控制,最终实现对用户可使用网络资源的控制。
- Extreme公司提供的基于WEB的用户认证方式,大大降低了实施用户接入技术的复杂性,用户的终端设备上无需安装特定的客户端软件即可完成用户的接入认证。通过单端口上多用户接入认证技术,可以保证用户接入认证技术的广泛应用以及在异构网络上的实施。
- 支持终端设备的接入控制。通过Extreme网络设备上的MAC地址锁定和MAC地址限制功能,网络系统可以控制非法设备的接入,进一步提高网络的安全性。
- 强制使用DHCP的能力。在现代企业网络覆盖范围日益扩大和网络结构日益复杂的今天,越来越多的企业网络通过DHCP方式来实现企业内部IP地址的分配,通过DHCP的使用,系统管理员可以更好的实现网络的优化与管理,降低网络管理的复杂度。但企业内部可能出现的无管理下的静态配置IP地址,将导致IP地址的不可管理性,并会导致因IP地址冲突而带来的网络不可用的问题。利用Extreme 网络设备独有的的ARP Learning Disable功能,系统管理员可以针对性地强制网络设备上的某些端口连接的终端设备必须使用DHCP获得的IP地址,否则终端设备不能够接入网络,进而保证网络的安全性。
- 内置的防范攻击能力。Extreme公司的网络设备都内置了对DOS攻击、DDOS攻击技术,大大提高了设备抗攻击的能力。
- 使用IPDA subnet Forwarding和LPM转发技术。正如大家所了解的,传统三层交换机使用基于流表的方式(IP Host Forwarding)来完成数据包的快速转发。基于流表的快速转发机制要求为每个目的地建立一个转发表项,而流表的建立方式,使得每个新数据流的第一个数据包必须经过CPU进行处理,当网络上出现扫描攻击的时候,会导致流表的快速溢出,引起CPU负载快速上升,并最终导致网络设备性能下降,使得整个网络不能进行正常的数据包传输。通过使用IPDA subnet Forwarding和LPM转发技术,可以大大缩减快速转发表的大小,提高每条快速转发表表项覆盖的范围,从而很好地解决了流表溢出所带来的问题,大大提高了网络系统抗击病毒攻击的能力,提高了网络系统的可靠性,并最终保证了网络的高性能和高扩展性。
Extreme 公司的网络设备采用专门的硬件来完成ACL的处理,保证了用户在使用ACL进行安全控制的同时还能实现全线速的数据包转发能力。利用Extreme 公司的强大ACL功能,用户可以实现以下安全控制保证:
- 根据不同用户的IP源/目的/子网地址、第4层源/目的端口、协议类型等决定每个用户可以访问的网络。
- 可限制TCP连接为单向方式。
- 路由访问策略。控制对BGP、OSPF、RIP、DVMRP、PIM/DM广播和可信赖的源地址的限制。
- ICMP响应控制。对ICMP的重定向、port unreachable等功能进行控制。
- 同步速率限制(SYN rate limiting)。在服务器负载平衡的transparent和translational模式下,限制试图与服务器建立连接的次数。
- 在BlackDiamond 10808上,ACL可以对数据包前120字节内的任何内容进行识别,而该识别能力已经可以作到对数据包中的具体负载进行分析,因此可以完成类似与防火墙的包分析功能,实现对P2P应用(如BT下载)的控制。
- 在新一代万兆交换机BlackDiamond 10808和Aspen 8810上使用IF…..THEN….ELSE格式进行ACL的组合,保证了ACL具有更好的逻辑性和控制性。
- 网络的高性能
网络的高性能是所有网络的设计者和使用者所追求的目标,因此网络的性能通常也成为选择网络产品的重要依据。
其实,网络技术发展到今天,几乎所有网络厂商的产品都可实现‘线速’交换和路由。但是,一个成功的网络不但要能对简单的普通信息传输提供无阻塞的交换,它还必须在一些苛刻的应用环境下表现出应有的性能。比如,当网络中出现病毒攻击、启用ACL等防护措施时,当网络传输不同重要等级的流量并实施QoS机制时、当网络繁忙、但必须对重要通信活动提供优先服务时,当网络对多种通讯技术(如:单播、组播)、多种协议提供同时服务时,大部分的网络产品就不能提供满意的性能。因此,必须综合全面地考核网络产品在上述复杂环境下的性能特性。
作为高端3层交换技术的领导者,Extreme的每一款产品都代表着业内的最高水平。Extreme产品的高性能得到了众多国际知名评测机构的认可。大量的测试结果表明,Extreme的交换机无论在单播、组播、启用ACL、QoS,在100M、1000M、10000M交换、路由时都表现出杰出的性能。 著名的第三方测试机构Tolly Group和ZD Labs对Extreme 和其他公司主流产品进行过多方面的测试比较,大量测试结果表明,Extreme的所有交换机的高性能的特点的确是业内当之无愧的领先者,不论是在单播、组播、启用ACL、QoS,在100M、1000M、10000M交换、路由等各种苛刻的环境下都表现出比竞争对手更为杰出的性能。 |
