网络规划建议
双鹤药业网络规划建议书
火墙模块、IDS/IPS 模块、管道清洗(防御 DDoS)模块、网络协议分析 (发现异常流量)模块、VPN(IPSec/SSL)模块、应用优化控制(负载 均衡) 模块、 无线控制模块、 存储模块、 媒体网关模块、 广域网模块…… 等等,从而可以把完整的高层智能功能下放到基础设施内完成,为形成 交互服务层功能打下基础。
3.2.2、 3.2.2、 虚拟化虚拟化是实现物理资源复用、 降低管理维护复杂度、 提高设备利用率的关键, 同时也是为未来自动资源协调和配置打下基础。xx 公司网络设计了三个关键的 虚拟化技术: MPLS VRF 技术 VLAN/VPN 技术实现的是连通性的虚拟化。 由于 xx 公司园区网络规模较大, 构造横跨园区的 VLAN、 波及全网的广播域和所有交换机都参与的生成树是几乎 不现实的, 因此安全域隔离不能简单采用 VLAN, 而必须使用 MPLS VPN 或 VRF, 这也是当前大规模园区网的设计准则和惯例。为实现该设计,所有核心和汇聚层 设备全部应该实配支持所有端口的 MPLS VPN 硬件封装和转发,并与虚拟防火 墙配合实现虚拟安全域 VRF,并在每个安全域内拥有自己的地址规划、路由协 议、虚拟防火墙、虚拟安全策略等等,完全实现与物理设备的无关性。 虚拟防火墙 当前防火墙的主要功能不仅仅是互联网出口使用,xx 公司内部网络功能分 区、数据中
心业务控制都需要防火墙实现,因此 xx 公司网络的管理员需要管理 几十个安全域之间的访问控制。传统网络构架下,管理员需要关心每个安全域的 网络接口和 VLAN、 防火墙上的板卡、 业务部门和防火墙之间的物理连接、 ……, 需要维护几十个安全域中两两的安全域访问关系, 每当网络中新增或移走一个安 全域,或者一个安全域的访问策略发生变化,他需要一方面做很多物理部署上的 更改和相关的网络配置, 另外他还要重新考虑一遍新变化的安全域和所有其它安 全域之间的控制策略,如果企业业务急速发展,变更频繁,这样的工作将变得异 常挑战,也极易出现安全管理漏洞。8