搜索
Page01值得信赖的信息安全与数据保护合作伙伴ICT基础知识2014.10.12Page01值得信赖的信息安全与数据保护合作伙伴全业务运营时代的IP城域网CN2ChinaNet本地专线网络IP城域网用户网络业务大客户VIP普通用户VPN语音、视频上网有高QOS要求的商业客户•NGN(软交换)中继电路•3G中继电路•Vnet业务端管云Page01值得信赖的信息安全与数据保护合作伙伴企业园区网络技术发展趋势云计算在变、物联网在变、移动互联网在变,园区网?能源成本硬件成本能源销售成本占硬件成本的25%–IDC2015年,65%的企业使用云桌面–Gartner65%企业接受移动办公–InformationWeekSHIPMENTSPRICE万兆端口出货量以45.2%复合年均增长率快速增长–Gartner云与多媒体BYOD万兆绿色园区网络新挑战Page01值得信赖的信息安全与数据保护合作伙伴什么是园区网政府、金融、交通、能源……电力、石油、制造行业……学校园网高新科技园、软件园……园区分类小型园区中型园区大型园区终端用户数量200200-10001000什么是园区网Page01值得信赖的信息安全与数据保护合作伙伴园区基础网络架构部门A部门B访客接入区内部公共区域核心层核心交换机汇聚层汇聚层交换机室外PON接入接入交换机AP接入层数据中心网管中心DMZ园区出口防火墙出口路由器语音网关PBX分支访客应用层企业网络架构Page01值得信赖的信息安全与数据保护合作伙伴不同分支规模场景微型分支接入点数10微型金融机构离行ATM机移动柜台环境检测车小型分支接入点数10-50银行/证券/税务营业网点小型企业分支连锁超市中型分支接入点数50-250大型银行/证券营业网点、分行/支行中小酒店中小医疗机构大型分支接入点数250大型企业分支机构大型酒店大中型医疗机构根据固定接入点数量划分分支规模Page01值得信赖的信息安全与数据保护合作伙伴典型应用——一体化的分支企业总部分支机构WAN分支路由器汇聚路由器分支路由器分支网关集成路由器,交换机,AP,3G与一台设备上,为用户提供路由交换一体化,有线无线一体化的绿色解决方案3G网络集成交换模块,满足分支终端的连接需要,不再需要额外的交换机集成WiFi,满足分支用户移动办公需求,提高工作效率集成3G,为分支提供更可靠的网络备份方案Page01值得信赖的信息安全与数据保护合作伙伴企业分支要素全貌PSTNInternet总部园区终端接入服务器接入分支内网视频监控模拟电话IP电话打印机有线接入DMZ服务器WAN内部服务器E1/以太/MPLSxDSL/3G/Internet专线分支互联FXO/E1中继线无线网络设备有线网络设备分支出口一级网管系统二级网管系统认证/计费/授权服务器系统总部出口/VPN网关传真机办公辅助设备无线接入枪机球机存储便携机便携机台式机pad智能手机Page01值得信赖的信息安全与数据保护合作伙伴企业分支解决方案全景图路由器汇聚交换机接入交换机AP3G基站3G链路专线链路因特网链路PSTN链路大型分支小型分支企业总部模拟电话模拟电话视频监控办公区无线接入生产区视频监控办公区无线接入生产区微型分支Router内部服务器一级网管二级网管服务器系统DMZ服务器模拟电话AC路由器防火墙APWANInternetPSTNWifi中型分支模拟电话视频监控部门A无线接入部门BAP路由器AP服务器区防火墙RouterPage01值得信赖的信息安全与数据保护合作伙伴多业务接入规划城域网上网流量IPTVIP电话新业务PCIPTVIP电话视频电话等新业务不同的VLAN分隔不同的业务,针对每种业务给予适当的QOS保障PCIPTVIP电话不同的PVC分隔不同的业务,针对每种业务给予适当的QOS保障不同的业务通过不同的MPLSVPN平面承载IPTVNGN视频业务PUPV/PSPV——PerUser/ServicePerVLANVLAN应当根据每个用户一个VLAN,每个业务一个VLAN,保证用户和业务的安全。公网VLAN应该统筹规划,可以通过QinQ技术扩展VLAN,突破4KVLAN的限制。广域网介绍Page01值得信赖的信息安全与数据保护合作伙伴核心层NE40NE40S2403NE80NE802.5GPOSMA5200接入层接入网冲击波配置检测参数,设备自动防御,使带有病毒的用户报文不能转发S2403冲击波划分vlan进行用户隔离单位时间内限制用户互访数用户隔离限制每用户带宽源IP,MAC绑定ACL保护强制PORTAL业务,用户上线后提供杀毒和补丁链接MA5100pvc进行用户隔离用户流控ARP防护限制用户访问(HWTACACS/SSH)实时检测用户流量攻击地址反欺骗ACL保护Urpf检查关闭ICMP、ftp等服务冲击波INTERNET冲击波城域网层次汇接层NE20启用ACL过滤限制用户访问(HWTACACS/SSH)流量监控(NETSTREAM)Page01值得信赖的信息安全与数据保护合作伙伴电信级业务骨干网Internet骨干网IP城域网的典型网络结构IPDSLAM集团专线用户双绞线DarkFiberMSTP以太网个人用户骨干网核心层汇接层接入层接入网BASBASAR/PEL2AR/PE汇接路由器核心路由器PEIP专线3GNGN城域网ASBRAR/PEBASBASBASBASAR/PE业务分离综合业务接入、承载、传送RTUPCIADHomeGatewaySTBPCIADSTB业务识别、区分服务PEPMPLSVPN骨干网ASBRIDC城域网结构图Page01值得信赖的信息安全与数据保护合作伙伴NE80骨干网城域网核心层城域网汇接层NE5000EMA5200GNE5000E8850RTUSTBPCIADDSLAMRTUSTBPCIADLanSwitchMA5200MA5200GB平面A平面骨干网DSLAMMA5200GIPTVCSIPTVESIPTVESNE80ENE80ENE80ENE80EIP城域网双平面结构STB城域网接入层Page01值得信赖的信息安全与数据保护合作伙伴MPLSL2VPN的架构:MPLSVPN技术简介MPLSL2VPN就是在MPLS网络上透明传递用户的二层数据。从用户的角度来看,这个MPLS网络就是一个二层的交换网络,通过这个网络,可以在不同站点之间跨网络建立二层的连接。MPLSL2VPN实现类似FR、ATM的VLL(虚拟租用线)业务Tunnel虚电路CustomerSiteCustomerSiteCustomerSiteCustomerSitePEPEPage01值得信赖的信息安全与数据保护合作伙伴IP/MPLSInternetVPN1Site1-1VPN1Site1-2CE3CE4PE2PE3PE1VPN1VRFSite1-1Site1-2PE30.0.0.0/0PE1VPN2VRFSite2-2Site2-1PE20.0.0.0/0PE1VPN_importVRFSite1-1routesPE2Site2-2routesPE3VPN_export(子)接口VPN_import(子)接口VPN2Site2-2CE5防火墙CE2VPN2Site2-1VPN_exportVRF0.0.0.0/0F0/0.1MP-IBGPMP-IBGPMP-IBGPISP提供Internet连接-共享Internet连接InternetSuperVPNInternetSuperVPN使用集中的Internet连接以hub-spoke方式接入多个VPN一个防火墙作为InternetSuperVPN的hub-CE以2个(子)接口的方式连接到PE防火墙2个(子)接口属于不同安全域,防止VPN通过防火墙互访,VPN_export连接上使用静态路由优点:1、安全性高,易管理2、节省防火墙设备,成本低问题:1、运营者Internet出口瓶颈2、不支持VPN地址重叠Page01值得信赖的信息安全与数据保护合作伙伴IP城域网负责本地NGN/VoIP业务的接入与承载,并负责向IP电信业务骨干网传送业务(长途VoIP业务)。注意TMG、softX等关键NGN设备的接入可靠性设计。增值类电信业务-NGN/VoIPSoftX长途网TMG本地网GSMGMSC本地网PSTN跨域VPN企业客户语音数据IAD/VG企业出口路由器MSTP/SDH/DarkFiber/WLAN企业客户语音数据IAD/VG企业出口路由器综合业务接入数据个人客户本地网BAS综合业务接入多业务终端C3IP城域网IP电信业务骨干网Internet骨干网Page01值得信赖的信息安全与数据保护合作伙伴本地网PSTN移动IP城域网MSCServerMSCServerMGWGMSC3G无线网RNCRNCGGSNSGSN3G无线网RNCMGWSGSNMGW长途网中国移动IP专网跨域VPNCMNet骨干网本地网TMSCServerTMSCServer移动IP城域网负责本地3G业务的接入与承载–3GPS、3GCS及信令,并负责向中国移动IP专网和CMNet骨干网传送业务。增值类电信业务-3、4G数据业务话音业务本地IDCPage01值得信赖的信息安全与数据保护合作伙伴IPBackboneNetworkSolutionMSCeBSC/RNCMGWGGSNSGSNCE2G/3GIDCCEHLR/HSSBOSSAAADHCPDNSNMSOAMEPGServerMediaServerIPTVCEOtherISPSBCCSCFMGCF/IM-MGWCEIMSPCRFMMESAE-GWCEEPCSSTG/SGCENGNIPBackboneNetworkPrinciple:Flatness,dualplanes,allinterconnectionPage01值得信赖的信息安全与数据保护合作伙伴传统数据中心机房面临的挑战Page193G、云计算、物联网等业务快速增长,机房能耗急剧上升;传统数据中心机房功率密度从3-5kW/柜上升至10kW+,机房局部过热成为设备安全运行的最大风险设备功耗发展趋势制冷效率低机柜同一朝向布置,级联加热;空调风帽上送风,冷热气流混合严重机柜内无挡风盲板,热气流回流线缆布置不合理,阻碍气流输送,影响维护性,降低可靠性业务增长快、能耗上升大模块化扩容机房建设周期1-2年,早期无法准确预测业务发展无法按需部署和模块化扩展传统数据中心:只监控不管理IT设备与机房基础设施实现智能联动,提升管理效率缺乏统一的监控管理监控+管理机房环境能耗监控IT资源动态调节演进差Page01值得信赖的信息安全与数据保护合作伙伴3S解决方案构建绿色机房Page20Scalable•标准机柜•模块化机房•密度平滑提升•集装箱机房Smart•联动控制•智能机器人•智能管理系统智能控制业务迁移人工智能管理控制EnergySaving•清洁的能源•高效的能源利用•精密送风•密封冷通道3S解决方案:智能(Smart)、节能(EnergySaving)、模块化(Scalable)构建绿色数据中心机房Page01值得信赖的信息安全与数据保护合作伙伴云机房整体布局Page21数据中心机柜精密空调配电区进线室VIP机房办公区仓库会议室运维中心前台接待云机房Page01值得信赖的信息安全与数据保护合作伙伴云机房解决方案概述Page22精确送风机柜IT设备机柜油机&ATSUPS直流电源柜交流电源柜静态转换开关电池及电池架电源线缆走线架光纤配线架线缆&光纤标识走线支架火灾探测系统烟感探测系统灭火系统平面布局门&窗墙&天花板架空地板照明等瞬间浪涌电压抑制装置接地保护系统内部装修综合布线门禁CCTV动环监控集成管理精密空调舒适性空调通风系统咨询交付设计维保机房物理基础设施机房服务需求分析业务模型预测方案架构机房选址可行性验证