网络规划建议

双鹤药业网络规划建议书

火墙模块、IDS/IPS 模块、管道清洗(防御 DDoS)模块、网络协议分析 (发现异常流量)模块、VPN(IPSec/SSL)模块、应用优化控制(负载 均衡) 模块、 无线控制模块、 存储模块、 媒体网关模块、 广域网模块…… 等等，从而可以把完整的高层智能功能下放到基础设施内完成，为形成 交互服务层功能打下基础。

3.2.2、 3.2.2、 虚拟化虚拟化是实现物理资源复用、 降低管理维护复杂度、 提高设备利用率的关键， 同时也是为未来自动资源协调和配置打下基础。xx 公司网络设计了三个关键的 虚拟化技术： MPLS VRF 技术 VLAN/VPN 技术实现的是连通性的虚拟化。 由于 xx 公司园区网络规模较大， 构造横跨园区的 VLAN、 波及全网的广播域和所有交换机都参与的生成树是几乎 不现实的， 因此安全域隔离不能简单采用 VLAN, 而必须使用 MPLS VPN 或 VRF, 这也是当前大规模园区网的设计准则和惯例。为实现该设计，所有核心和汇聚层 设备全部应该实配支持所有端口的 MPLS VPN 硬件封装和转发，并与虚拟防火 墙配合实现虚拟安全域 VRF,并在每个安全域内拥有自己的地址规划、路由协 议、虚拟防火墙、虚拟安全策略等等，完全实现与物理设备的无关性。 虚拟防火墙 当前防火墙的主要功能不仅仅是互联网出口使用，xx 公司内部网络功能分 区、数据中

心业务控制都需要防火墙实现，因此 xx 公司网络的管理员需要管理 几十个安全域之间的访问控制。传统网络构架下，管理员需要关心每个安全域的 网络接口和 VLAN、 防火墙上的板卡、 业务部门和防火墙之间的物理连接、 ……, 需要维护几十个安全域中两两的安全域访问关系， 每当网络中新增或移走一个安 全域，或者一个安全域的访问策略发生变化，他需要一方面做很多物理部署上的 更改和相关的网络配置， 另外他还要重新考虑一遍新变化的安全域和所有其它安 全域之间的控制策略，如果企业业务急速发展，变更频繁，这样的工作将变得异 常挑战，也极易出现安全管理漏洞。8