綿陽毅德商貿(mào)城物流園區(qū)網(wǎng)絡(luò)安全建設(shè)方案

綿陽毅德商貿(mào)城物流園區(qū)網(wǎng)絡(luò)安全建設(shè)方案概述隨著VoIP、高清視頻、Web2.0、云計(jì)算等新技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)數(shù)據(jù)傳輸容量出現(xiàn)了幾何級(jí)增長，據(jù)吉爾德定律預(yù)示，未來25年，帶寬每六個(gè)月將增加一倍。如此飛速增長的數(shù)據(jù)業(yè)務(wù)不僅將使網(wǎng)絡(luò)架構(gòu)變得非常復(fù)雜，也將面臨網(wǎng)絡(luò)安全、應(yīng)用體驗(yàn)性、業(yè)務(wù)持續(xù)可用等巨大挑戰(zhàn)。傳統(tǒng)的解決方法是使用大容量交換設(shè)備之外部署防火墻、IPS、流量控制、應(yīng)用交付等深度業(yè)務(wù)處理設(shè)備，這種網(wǎng)絡(luò)層與業(yè)務(wù)層相分離的架構(gòu)初期比較靈活，但卻只能適用于小型網(wǎng)絡(luò)，主要原因有：■設(shè)備的不斷疊加使得網(wǎng)絡(luò)變得越來越復(fù)雜，并帶來大量單點(diǎn)故障■數(shù)據(jù)報(bào)文的多次重復(fù)解析和處理，造成網(wǎng)絡(luò)性能的衰減和延遲的增加■多廠商、多設(shè)備間相互兼容困難，特別是隨著網(wǎng)絡(luò)規(guī)模和組網(wǎng)模式的不斷革新，難以實(shí)現(xiàn)性能、功能、接口的按需擴(kuò)展■網(wǎng)絡(luò)與安全技術(shù)兼容困難，如MPLSVPN、IPv6、虛擬化等■各設(shè)備間物理和邏輯都是分割的，無法統(tǒng)一管理很顯然，這種“葫蘆串”的簡單疊加模式看似合理，但已遠(yuǎn)遠(yuǎn)落后于用戶業(yè)務(wù)需求的增長速度，不僅會(huì)耗費(fèi)大量人力物力，造成資源的浪費(fèi)，同時(shí)也會(huì)使得網(wǎng)絡(luò)變得異常復(fù)雜，帶來可靠性、性能、擴(kuò)展能力、網(wǎng)絡(luò)兼容性、管理等大量新問題。網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)如何有效解決上述問題，在大容量線速無阻塞轉(zhuǎn)發(fā)條件下，保證網(wǎng)絡(luò)及業(yè)務(wù)的安全、快速、可用？隨著網(wǎng)絡(luò)標(biāo)準(zhǔn)化、虛擬化、智能化程度的不斷提高，只有通過將交換、應(yīng)用和業(yè)務(wù)進(jìn)行深度整合，并借助虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)層和業(yè)務(wù)層的無縫融合，才能達(dá)到簡化網(wǎng)絡(luò)架構(gòu)、提高網(wǎng)絡(luò)效率、在融合過程中保護(hù)用戶既有資源的目的。本次綿陽毅德商貿(mào)城物流園區(qū)網(wǎng)絡(luò)的建設(shè)將采用迪普科技DPX8000系列深度業(yè)務(wù)交換網(wǎng)關(guān)。DPX8000系列產(chǎn)品基于DPtech自主知識(shí)產(chǎn)權(quán)的ConPlat軟件平臺(tái)，集業(yè)務(wù)交換、網(wǎng)絡(luò)安全、應(yīng)用交付三大功能于一體。在提供IPv4/IPv6、MPLSVPN、不間斷轉(zhuǎn)發(fā)、環(huán)網(wǎng)保護(hù)等豐富網(wǎng)絡(luò)特性基礎(chǔ)上，還可以提供應(yīng)用防火墻、IPS、UAG、異常流量清洗/檢測、應(yīng)用交付等深度業(yè)務(wù)的線速處理，是目前業(yè)界業(yè)務(wù)擴(kuò)展能力最強(qiáng)、處理能力最高、接口密度最高的深度業(yè)務(wù)交換網(wǎng)關(guān)，旨在滿足運(yùn)營商、數(shù)據(jù)中心、大型企業(yè)的高性能網(wǎng)絡(luò)深度業(yè)務(wù)處理需要。總體網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)結(jié)構(gòu)將采用大型園區(qū)網(wǎng)典型的層次化、模塊化組網(wǎng)結(jié)構(gòu)。層次化結(jié)構(gòu)的優(yōu)勢采用層次化結(jié)構(gòu)有如下好處：節(jié)約成本：園區(qū)網(wǎng)絡(luò)意味著巨大的業(yè)務(wù)投資正確設(shè)計(jì)的園區(qū)網(wǎng)絡(luò)可以提高業(yè)務(wù)效率和降低運(yùn)營成本。便于擴(kuò)展：一個(gè)模塊化的或者層次化的網(wǎng)絡(luò)由很多更加便于復(fù)制、改造和擴(kuò)展的模塊所構(gòu)成，在添加或者移除一個(gè)模塊時(shí)，并不需要重新設(shè)計(jì)整個(gè)網(wǎng)絡(luò)。每個(gè)模塊可以在不影響其他模塊或者網(wǎng)絡(luò)核心的情況下投入使用或者停止使用。加強(qiáng)故障隔離能力：通過將網(wǎng)絡(luò)分為多個(gè)可管理的小型組件，企業(yè)可以大幅度簡化故障定位和排障處理時(shí)效。標(biāo)準(zhǔn)的網(wǎng)絡(luò)分層結(jié)構(gòu)層次化結(jié)構(gòu)包括三個(gè)功能部分，即接入層、分布層和核心層，各層次定位分別如下：核心層：是企業(yè)數(shù)據(jù)交換網(wǎng)絡(luò)的骨干，本層的設(shè)計(jì)目的是實(shí)現(xiàn)快速的數(shù)據(jù)交換，并且提供高可靠性和快速的路由收斂。分布層：也稱為匯聚層。主要匯聚來自接入層的流量和執(zhí)行策略，當(dāng)?shù)谌龑訁f(xié)議被用于這一層時(shí)可以獲得路由負(fù)載均衡，快速收斂和可擴(kuò)展性等好處。分布層還是網(wǎng)絡(luò)智能服務(wù)的實(shí)施點(diǎn)，包括安全控制、應(yīng)用優(yōu)化等智能功能都在此實(shí)施。接入層：負(fù)責(zé)提供服務(wù)器、用戶終端、存儲(chǔ)設(shè)施等等的網(wǎng)絡(luò)第一級(jí)接入功能，另外網(wǎng)絡(luò)智能服務(wù)的初始分類，比如安全標(biāo)識(shí)、QoS分類將也是這一層的基本功能。綿陽毅德商貿(mào)城物流園區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)業(yè)界企業(yè)網(wǎng)絡(luò)最佳設(shè)計(jì)實(shí)踐參考，在邊緣節(jié)點(diǎn)端口較少的小型網(wǎng)絡(luò)中，可以考慮將核心層與分布層合并，小型網(wǎng)絡(luò)的網(wǎng)絡(luò)規(guī)模主要由接入層交換機(jī)決定。但對(duì)于綿陽毅德商貿(mào)城物流園區(qū)而言，結(jié)合綿陽毅德商貿(mào)城物流園區(qū)的業(yè)務(wù)現(xiàn)狀及發(fā)展趨勢，我們可以看到未來幾年內(nèi)業(yè)務(wù)處于一個(gè)高速成長期，必須在本期網(wǎng)絡(luò)架構(gòu)中充分考慮未來的可擴(kuò)展性。所以綿陽毅德商貿(mào)城物流園區(qū)企業(yè)內(nèi)部核心網(wǎng)絡(luò)層次結(jié)構(gòu)必須具有以上嚴(yán)格清晰的劃分，即具有清晰的核心層、會(huì)聚分布層、接入層等分層結(jié)構(gòu)，才能保證網(wǎng)絡(luò)的穩(wěn)定性、健壯性和可擴(kuò)展性，以適應(yīng)業(yè)務(wù)的發(fā)展。綿陽毅德商貿(mào)城物流園區(qū)的業(yè)務(wù)應(yīng)用特點(diǎn)又決定了核心層將相對(duì)接入的網(wǎng)絡(luò)模塊較少，只有樓層匯聚接入、數(shù)據(jù)中心匯聚接入、廣域網(wǎng)接入等三塊，如果采用單獨(dú)的大容量物理核心設(shè)備將造成浪費(fèi)，而如果采用低端核心設(shè)備則會(huì)對(duì)業(yè)務(wù)相對(duì)繁忙的數(shù)據(jù)中心匯聚形成瓶頸，也影響網(wǎng)絡(luò)整體的穩(wěn)定性。鑒于此，我們采用大規(guī)模核心層設(shè)備DPX8000-A12深度業(yè)務(wù)交換網(wǎng)關(guān)作為核心，但虛擬化為兩套交換機(jī)，一套用于全網(wǎng)核心，一套用于數(shù)據(jù)中心匯聚。這樣做的優(yōu)勢如下：邏輯上仍然是清晰的兩套設(shè)備，完全保持了前述網(wǎng)絡(luò)分層結(jié)構(gòu)的優(yōu)勢。在性能上實(shí)現(xiàn)了網(wǎng)絡(luò)核心和數(shù)據(jù)中心匯聚交換機(jī)資源的共享和復(fù)用，非常好的解決了核心層數(shù)據(jù)量和數(shù)據(jù)中心數(shù)據(jù)量可能存在較大差異的問題。以較低的投入升級(jí)了數(shù)據(jù)中心匯聚交換機(jī)的能力（相當(dāng)于可以與核心層復(fù)用1.152Tbps以上的交換能力），適于下一階段要進(jìn)行的云計(jì)算數(shù)據(jù)中心三網(wǎng)融合的資源需求。減少了設(shè)備數(shù)量，降低了設(shè)備投入成本、功耗開銷和維護(hù)管理的復(fù)雜度。綿陽毅德商貿(mào)城物流園區(qū)新一代數(shù)據(jù)中心整體網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示：網(wǎng)絡(luò)安全域邊界數(shù)據(jù)流量分析如下圖網(wǎng)絡(luò)安全域邊界防護(hù)分析如下圖物流園區(qū)網(wǎng)絡(luò)整體按用戶、業(yè)務(wù)類型、使用單位及安全域防護(hù)需求及安全等級(jí)，共分為5個(gè)安全域；劃分各安全區(qū)；安全區(qū)內(nèi)再細(xì)分各接入單元；數(shù)據(jù)中心服務(wù)器域后期會(huì)接入到20～50臺(tái)服務(wù)器、需考慮未來FCoE萬兆存儲(chǔ)技術(shù)的應(yīng)用、海量視頻查詢調(diào)用本區(qū)域細(xì)分普通服務(wù)器區(qū)、重要服務(wù)器區(qū)、核心服務(wù)器區(qū)、視頻監(jiān)控服務(wù)器區(qū)等業(yè)務(wù)安全分區(qū)，服務(wù)器區(qū)互訪需要各類安全防護(hù)，所以網(wǎng)關(guān)均終結(jié)在邊界的DPX8000-A12深度業(yè)務(wù)交換網(wǎng)關(guān)。防火墻、IPS入侵防御安全業(yè)務(wù)功能需要考慮未來支持15~30G的邊界擴(kuò)展流量。ADX服務(wù)器負(fù)載均衡安全業(yè)務(wù)功能只需要考慮做虛擬化集群服務(wù)器流量，所以考慮5~10G性能運(yùn)維管理域本區(qū)域細(xì)分為網(wǎng)絡(luò)管理區(qū)、安全管理區(qū)、運(yùn)維監(jiān)控區(qū)及統(tǒng)一通訊管理平臺(tái)。防火墻、IPS入侵防御安全業(yè)務(wù)功能需要考慮支持2G的邊界擴(kuò)展流量。互聯(lián)網(wǎng)接入域本區(qū)域考慮互聯(lián)網(wǎng)視頻查詢、內(nèi)部租戶上網(wǎng)，物流園區(qū)內(nèi)部辦公上網(wǎng)及與總部內(nèi)網(wǎng)VPN安全互聯(lián)。采用電信、聯(lián)通、移動(dòng)三家運(yùn)營商各300M線路提供服務(wù)，邊界流量為900M。防火墻需要具備IPSECVPN及SSLVPN硬件加解密性能。內(nèi)網(wǎng)租戶和園區(qū)辦公網(wǎng)互聯(lián)網(wǎng)帶寬通過流控審計(jì)設(shè)備進(jìn)行精細(xì)化分配管理，上網(wǎng)行為日志根據(jù)公安部要求保留60天。防火墻、IPS入侵防御、ADX鏈路負(fù)載均橫及流控審計(jì)業(yè)務(wù)安全功能需要考慮支持1G的邊界流量。租用用戶接入域本區(qū)域主要考慮以太光纖組網(wǎng)，萬兆光纖上連至核心交換，內(nèi)部千兆到桌面，考慮邊界10~20G流量。內(nèi)部接入域本區(qū)域主要考慮商貿(mào)城內(nèi)部辦公接入及與總部VPN接入互聯(lián)，考慮邊界2G流量。網(wǎng)絡(luò)安全域邊界流量及防護(hù)分析如下圖：【一期】物流園區(qū)網(wǎng)絡(luò)整體按用戶、業(yè)務(wù)類型、使用單位及安全域防護(hù)需求及安全等級(jí)，共分為5個(gè)安全域；劃分各安全區(qū)；安全區(qū)內(nèi)再細(xì)分各接入單元；數(shù)據(jù)中心服務(wù)器域一期接入到10～20臺(tái)服務(wù)器本區(qū)域細(xì)分普通服務(wù)器區(qū)、重要服務(wù)器區(qū)、核心服務(wù)器區(qū)、視頻監(jiān)控服務(wù)器區(qū)等業(yè)務(wù)安全分區(qū)，服務(wù)器區(qū)互訪需要各類安全防護(hù)，所以網(wǎng)關(guān)均終結(jié)在邊界的DPX深度業(yè)務(wù)交換網(wǎng)關(guān)。防火墻、IPS入侵防御安全業(yè)務(wù)功能需要考慮支持10G的邊界擴(kuò)展流量。ADX服務(wù)器負(fù)載均橫安全業(yè)務(wù)功能只需要考慮做虛擬化集群服務(wù)器流量，所以考慮5G性能運(yùn)維管理域本區(qū)域細(xì)分為網(wǎng)絡(luò)管理區(qū)、安全管理區(qū)、運(yùn)維監(jiān)控區(qū)及統(tǒng)一通訊管理平臺(tái)。防火墻、IPS入侵防御安全業(yè)務(wù)功能需要考慮支持2G的邊界擴(kuò)展流量。互聯(lián)網(wǎng)接入域本區(qū)域考慮互聯(lián)網(wǎng)視頻查詢、內(nèi)部租戶上網(wǎng)，物流園區(qū)內(nèi)部辦公上網(wǎng)及與總部內(nèi)網(wǎng)VPN安全互聯(lián)。采用電信、聯(lián)通、移動(dòng)三家運(yùn)營商各300M線路提供服務(wù)，邊界流量為900M。防火墻需要具備IPSECVPN及SSLVPN硬件加解密性能。內(nèi)網(wǎng)租戶和園區(qū)辦公網(wǎng)互聯(lián)網(wǎng)帶寬通過流控審計(jì)設(shè)備進(jìn)行精細(xì)化分配管理，上網(wǎng)行為日志根據(jù)公安部要求保留60天。防火墻、IPS入侵防御、ADX鏈路負(fù)載均橫及流控審計(jì)業(yè)務(wù)安全功能需要考慮支持1G的邊界流量。租用用戶接入域本區(qū)域主要考慮以太光纖組網(wǎng)，萬兆光纖上連至核心交換，內(nèi)部千兆到桌面，一期考慮邊界5G流量。內(nèi)部接入域本區(qū)域主要考慮商貿(mào)城內(nèi)部辦公接入及與總部VPN接入互聯(lián)，考慮邊界2G流量。全網(wǎng)核心層設(shè)計(jì)本次我們采用能擴(kuò)展到9.6Tbps以上的DPX8000系列深度業(yè)務(wù)交換網(wǎng)關(guān)，每臺(tái)DPX8000-A12劃分為兩個(gè)虛擬交換機(jī)，一個(gè)虛擬交換機(jī)作為綿陽毅德商貿(mào)城物流園區(qū)全網(wǎng)核心，另一個(gè)虛擬交換機(jī)作為數(shù)據(jù)中心的分布匯聚層交換機(jī)。我們選擇的是12插槽DPX8000-A12深度業(yè)務(wù)交換網(wǎng)關(guān)，以雙機(jī)雙冗余方式部署在網(wǎng)絡(luò)核心。每臺(tái)當(dāng)前支持的最大交換容量為1.152Tbps，最大萬兆端口容量為84個(gè)，每插槽交換能力為120Gbps（未來可擴(kuò)展到320Gbps以上），可以在未來擴(kuò)展40G/100G以太網(wǎng)。本次每臺(tái)DPX8000-A12實(shí)配FW1000-Blade防火墻業(yè)務(wù)板卡、IPS2000-Blade入侵防御業(yè)務(wù)板卡、UAG3000-Blade流控審計(jì)業(yè)務(wù)板卡、ADX3000-Blade負(fù)載均衡業(yè)務(wù)板卡，所有安全業(yè)務(wù)板卡自身帶12個(gè)千兆電和12個(gè)千兆光路由交換端口。這樣平均每臺(tái)DPX實(shí)配6個(gè)萬兆端口，48個(gè)千兆電口，48個(gè)千兆光口，這些端口都可在物理上劃分為屬于全網(wǎng)核心的虛擬交換機(jī)和屬于數(shù)據(jù)中心匯聚的虛擬交換機(jī)，每個(gè)虛擬交換機(jī)從軟件進(jìn)程到配置界面都各自獨(dú)立，但可以共享和復(fù)用總的交換機(jī)資源。每臺(tái)設(shè)備剩余擴(kuò)展插槽6個(gè)以上，完全滿足未來擴(kuò)容需要。每個(gè)虛擬業(yè)務(wù)板卡都支持VSM虛擬化技術(shù)，即可以實(shí)現(xiàn)跨交換機(jī)的端口捆綁，這樣在下級(jí)交換機(jī)上連屬于不同機(jī)箱的虛擬交換機(jī)時(shí)，可以把分別連向不同機(jī)箱的萬兆鏈路用與IEEE802.3ad兼容的技術(shù)實(shí)現(xiàn)以太網(wǎng)鏈路捆綁，提高冗余能力和鏈路互連帶寬的同時(shí)，大大簡化網(wǎng)絡(luò)維護(hù)。園區(qū)網(wǎng)分布層設(shè)計(jì)數(shù)據(jù)中心分布層虛擬交換機(jī)數(shù)據(jù)中心的分布匯聚層交換機(jī)是采用上述DPX8000-A12內(nèi)單獨(dú)劃分處理的虛擬深度業(yè)務(wù)交換網(wǎng)關(guān)實(shí)現(xiàn)。深度業(yè)務(wù)交換網(wǎng)關(guān)之間通過外部互連，并同樣采用VSM的三層端口鏈路捆綁技術(shù)。分布匯聚層虛擬交換機(jī)與下面的接入層可以采用二層端口的VSM跨機(jī)箱捆綁技術(shù)互連。數(shù)據(jù)中心分布層深度業(yè)務(wù)安全防護(hù)數(shù)據(jù)中心的網(wǎng)絡(luò)深度業(yè)務(wù)安全防護(hù)由設(shè)計(jì)在核心集業(yè)務(wù)交換、網(wǎng)絡(luò)安全、應(yīng)用交付三大功能于一體的DPX8000-A12提供。DPX8000-A12配置了FW1000-Blade防火墻業(yè)務(wù)板卡、IPS2000-Blade入侵防御業(yè)務(wù)板卡、UAG3000-Blade流控審計(jì)業(yè)務(wù)板卡、ADX3000-Blade負(fù)載均衡業(yè)務(wù)板卡，提供應(yīng)用級(jí)安全訪問控制和應(yīng)用優(yōu)化、負(fù)載均衡功能。在一期實(shí)施中，網(wǎng)絡(luò)安全域邊界流量及數(shù)據(jù)中心服務(wù)器硬件模塊的部署密度不高——每個(gè)DPX8000-A12機(jī)箱內(nèi)防火墻模塊、負(fù)載均衡模塊各一塊，這樣通過VSM虛擬化為一臺(tái)設(shè)備后，防火墻模塊最大迸發(fā)吞吐量30Gbps，負(fù)載均衡模塊最大四層吞吐能力10Gbps（而且不是所有都需要負(fù)載均衡，出口做鏈路負(fù)載均衡、數(shù)據(jù)中心相同業(yè)務(wù)虛擬服務(wù)器做服務(wù)器負(fù)載均衡），完全滿足當(dāng)前業(yè)務(wù)需求。由于DPX8000-A12的防火墻模塊和應(yīng)用控制優(yōu)化模塊都支持虛擬化技術(shù)，因此還可以利用智能服務(wù)虛擬化實(shí)現(xiàn)基于每個(gè)數(shù)據(jù)中心業(yè)務(wù)組的定制服務(wù)策略和功能，使每個(gè)業(yè)務(wù)應(yīng)用使用所需資源時(shí)不必過度關(guān)注其物理存在方式，從而實(shí)現(xiàn)與物理無關(guān)的跨平臺(tái)智能服務(wù)調(diào)用（SODC的交互服務(wù)調(diào)用），極大的提高資源利用效率，減少了物理設(shè)施維護(hù)的復(fù)雜度?；ヂ?lián)網(wǎng)出口邊界接入DPX8000-A12的虛擬化的深度業(yè)務(wù)網(wǎng)關(guān)，邊界安全防護(hù)采用虛擬防火墻負(fù)責(zé)安全域劃分、訪問隔離、攻擊防范、NAT、IPSec/SSLVPN等功能，提供網(wǎng)絡(luò)層安全的訪問控制；采用入侵防御模塊負(fù)責(zé)4~7層對(duì)漏洞攻擊、網(wǎng)頁篡改、SQL注入等提供主動(dòng)防護(hù)；同時(shí)，IPS內(nèi)置卡巴斯基病毒庫，可對(duì)各種蠕蟲、病毒進(jìn)行實(shí)時(shí)攔截；采用流控審計(jì)模塊負(fù)責(zé)租戶區(qū)與內(nèi)部辦公區(qū)的流量帶寬精細(xì)化分配管理，并完成對(duì)P2P、游戲等非關(guān)鍵業(yè)務(wù)的流量控制，保障關(guān)鍵業(yè)務(wù)帶寬，輕松實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)帶寬的管理。通過審計(jì)模塊對(duì)Web訪問、網(wǎng)絡(luò)游戲、炒股、在線影視等上網(wǎng)行為進(jìn)行詳細(xì)記錄審核和權(quán)限管理，規(guī)范用戶上網(wǎng)行為，確保上網(wǎng)行為符合相關(guān)規(guī)定要求；通過虛擬化的負(fù)載均衡模塊進(jìn)行三大運(yùn)營商，電信、移動(dòng)、聯(lián)通線路的負(fù)載均衡。租戶分布匯聚層采用迪普公司DPtechLSW5602-44GT4GC千兆三層匯聚交換機(jī)。LSW5602-44GT4GC標(biāo)配有44個(gè)千兆以太網(wǎng)電口，4個(gè)千兆光或4個(gè)千兆電COMBO接口，2個(gè)擴(kuò)展插槽（支持1端口萬兆模塊/2端口萬兆模塊/2端口千兆SFP模塊）本次配置1端口萬兆模塊與核心DPX8000-A12萬兆光纖上連，1端口千兆SFP光纖與樓層接入層交換機(jī)千兆下連。商貿(mào)城內(nèi)部辦公網(wǎng)采用2端口SFP千兆光纖上連核心，1端口SFP千兆光纖下連樓層接入交換機(jī)。邊界訪問控制通過核心DPX8000-A12的虛擬防火墻模塊實(shí)現(xiàn)。園區(qū)網(wǎng)接入層設(shè)計(jì)本次建議綿陽毅德商貿(mào)城物流園區(qū)使用DPtechLSW3600-48T4GP接入交換機(jī)，可以實(shí)現(xiàn)數(shù)據(jù)中心接入層的分級(jí)設(shè)計(jì)。標(biāo)配有48個(gè)百兆以太網(wǎng)端口、4個(gè)千兆上連光口?？梢耘渲脼?條千兆光纖捆綁上連到匯聚，百兆到桌面的接入。迪普深度業(yè)務(wù)交換網(wǎng)關(guān)簡介DPtechDPX8000系列深度業(yè)務(wù)交換網(wǎng)關(guān)產(chǎn)品概述隨著VoIP、高清視頻、Web2.0、云計(jì)算等新技術(shù)的廣泛應(yīng)用，網(wǎng)絡(luò)數(shù)據(jù)傳輸容量出現(xiàn)了幾何級(jí)增長，據(jù)吉爾德定律預(yù)示，未來25年，帶寬每六個(gè)月將增加一倍。如此飛速增長的數(shù)據(jù)業(yè)務(wù)不僅將使網(wǎng)絡(luò)架構(gòu)變得非常復(fù)雜，也將面臨網(wǎng)絡(luò)安全、應(yīng)用體驗(yàn)性、業(yè)務(wù)持續(xù)可用等巨大挑戰(zhàn)。傳統(tǒng)的解決方法是使用大容量交換設(shè)備之外部署防火墻、IPS、流量控制、應(yīng)用交付等深度業(yè)務(wù)處理設(shè)備，這種網(wǎng)絡(luò)層與業(yè)務(wù)層相分離的架構(gòu)初期比較靈活，但卻只能適用于小型網(wǎng)絡(luò)，主要原因有：設(shè)備的不斷疊加使得網(wǎng)絡(luò)變得越來越復(fù)雜，并帶來大量單點(diǎn)故障數(shù)據(jù)報(bào)文的多次重復(fù)解析和處理，造成網(wǎng)絡(luò)性能的衰減和延遲的增加多廠商、多設(shè)備間相互兼容困難，特別是隨著網(wǎng)絡(luò)規(guī)模和組網(wǎng)模式的不斷革新，難以實(shí)現(xiàn)性能、功能、接口的按需擴(kuò)展網(wǎng)絡(luò)與安全技術(shù)兼容困難，如MPLSVPN、IPv6、虛擬化等各設(shè)備間物理和邏輯都是分割的，無法統(tǒng)一管理很顯然，這種“葫蘆串”的簡單疊加模式看似合理，但已遠(yuǎn)遠(yuǎn)落后于用戶業(yè)務(wù)需求的增長速度，不僅會(huì)耗費(fèi)大量人力物力，造成資源的浪費(fèi)，同時(shí)也會(huì)使得網(wǎng)絡(luò)變得異常復(fù)雜，帶來可靠性、性能、擴(kuò)展能力、網(wǎng)絡(luò)兼容性、管理等大量新問題。如何有效解決上述問題，在大容量線速無阻塞轉(zhuǎn)發(fā)條件下，保證網(wǎng)絡(luò)及業(yè)務(wù)的安全、快速、可用？隨著網(wǎng)絡(luò)標(biāo)準(zhǔn)化、虛擬化、智能化程度的不斷提高，只有通過將交換、應(yīng)用和業(yè)務(wù)進(jìn)行深度整合，并借助虛擬化技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)層和業(yè)務(wù)層的無縫融合，才能達(dá)到簡化網(wǎng)絡(luò)架構(gòu)、提高網(wǎng)絡(luò)效率、在融合過程中保護(hù)用戶既有資源的目的。DPtech正是在此背景下推出了DPX8000系列深度業(yè)務(wù)交換網(wǎng)關(guān)，包括DPX8000-A3、DPX8000-A5、DPX8000-A12三款產(chǎn)品。DPX8000系列產(chǎn)品基于DPtech自主知識(shí)產(chǎn)權(quán)的ConPlat軟件平臺(tái)，集業(yè)務(wù)交換、網(wǎng)絡(luò)安全、應(yīng)用交付三大功能于一體。在提供IPv4/IPv6、MPLSVPN、不間斷轉(zhuǎn)發(fā)、環(huán)網(wǎng)保護(hù)等豐富網(wǎng)絡(luò)特性基礎(chǔ)上，還可以提供應(yīng)用防火墻、IPS、UAG、異常流量清洗/檢測、應(yīng)用交付等深度業(yè)務(wù)的線速處理，是目前業(yè)界業(yè)務(wù)擴(kuò)展能力最強(qiáng)、處理能力最高、接口密度最高的深度業(yè)務(wù)交換網(wǎng)關(guān)，旨在滿足運(yùn)營商、數(shù)據(jù)中心、大型企業(yè)的高性能網(wǎng)絡(luò)深度業(yè)務(wù)處理需要。產(chǎn)品特點(diǎn)業(yè)界第一款深度業(yè)務(wù)交換網(wǎng)關(guān)。集業(yè)務(wù)交換、網(wǎng)絡(luò)安全、應(yīng)用交付三大功能于一體，適應(yīng)融合業(yè)務(wù)網(wǎng)絡(luò)發(fā)展趨勢，使復(fù)雜的網(wǎng)絡(luò)變得更簡單100G高性能平臺(tái)。支持未來40GE和100GE以太網(wǎng)標(biāo)準(zhǔn)，提供480GE的全線速無阻塞處理能力；高性能業(yè)務(wù)單板，最大可提供400G整機(jī)深度業(yè)務(wù)處理能力豐富的業(yè)務(wù)擴(kuò)展能力。支持應(yīng)用防火墻、IPS、流量控制、安全審計(jì)、應(yīng)用交付、異常流量清洗/檢測等深度業(yè)務(wù)功能的按需擴(kuò)展領(lǐng)先的虛擬化能力。DPX8000以資源化方式，將一個(gè)個(gè)相互獨(dú)立的功能單一的物理設(shè)備形成一個(gè)或多個(gè)邏輯對(duì)象，所有策略配置和管理均基于邏輯對(duì)象進(jìn)行實(shí)施，不僅大大提高了業(yè)務(wù)組網(wǎng)能力，并使得可靠性、無縫升級(jí)能力大大增強(qiáng)。強(qiáng)大的網(wǎng)絡(luò)適用性。支持IPv4/IPv6、三層/二層MPLSVPN等豐富的網(wǎng)絡(luò)特性，并提供48GE光、48GE電、4*10GE、8*10GE、4*2.5GPOS、4*10GPOS、1*40GPOS等各種高密端口電信級(jí)高可靠。主控冗余、N+1電源、不間斷重啟、熱補(bǔ)丁、數(shù)據(jù)/控制/監(jiān)測平面分離等技術(shù)，確保99.999％的電信級(jí)可靠性產(chǎn)品系列典型組網(wǎng)過去：組網(wǎng)復(fù)雜、功能/性能擴(kuò)展困難、單點(diǎn)故障點(diǎn)多、管理難度大現(xiàn)在：DPX8000組網(wǎng)簡單、業(yè)務(wù)/性能按需擴(kuò)展、單點(diǎn)故障點(diǎn)少、管理輕松產(chǎn)品規(guī)格產(chǎn)品型號(hào)DPX8000-A3DPX8000-A5DPX8000-A12主控槽位222業(yè)務(wù)槽位數(shù)2410整機(jī)交換容量（Gbps）2884801152整機(jī)業(yè)務(wù)處理能力（Gbps）80160400單板最大業(yè)務(wù)處理能力（Gbps）404040電源AC/DC雙電源AC/DC雙電源AC/DC四電源接口板類型支持48GE光、48GE電、4*10GE、8*10GE、4*2.5GPOS、4*10GPOS、1*40GPOS等業(yè)務(wù)板類型應(yīng)用防火墻、IPS、UAG、異常流量檢測/清洗、應(yīng)用交付等二層特性VLAN、STP、RSTP、MSTP、QinQ、靈活QinQ、Vlanmapping、全雙工流控、背壓式流控、鏈路聚合、跨板鏈路聚合、跨板端口/流鏡像、端口廣播/多播/未知單播風(fēng)暴抑制、JumboFrame、基于端口、協(xié)議、子網(wǎng)和MAC的VLAN劃分、PVLAN、GVRP、CoS優(yōu)先級(jí)三層特性IPv4：靜態(tài)路由、RIPv1/2、OSPF、BGP、策略路由等IPv4特性；IPv6：IPv6靜態(tài)路由、RIPng、OSPFv3、BGP4+、IPv4向IPv6過渡隧道技術(shù)等；MPLS/VPLS支持L3MPLSVPN、L2VPN:VL