来源:天极网 程旭 更新时间:2008-03-13
NGeN—Next Generation Enterprise Network,是华为3Com公司提出的新一代企业信息化的理念和技术框架。NGeN主要针对传统IP网络的可控性低、网络业务同网络资源自动适应性程度低以及网络缺乏立体安全性而提出,其目标是以业务应用为主体,以不断发展完善的智能网络技术、安全技术和灵活的资源调度为基础,以灵活实用的管理控制为手段,为企业用户提供端到端品质保证的融合数据、语音、视频等多业务的网络实体。
基于以上目标,NGeN网络框架划分为四个功能模块,分别为业务应用模块、管理控制模块、自适应基础网络功能模块、立体安全模块。如图所示:
自适应基础网络模块:与传统的网络层次模型不同,自适应业务网络模是一种端到端业务保证业务模型,它由高品质IP核心网及弹性智能接入网两部分组成。通过对关联内容的动态业务感知、控制、调整,以及配合网络设备、安全设备、管理系统之间的有机联动,保障网络资源的动态调整,实现对业务应用端到端的自适应功能。
管理控制模块由基础网络管理中心、资源调度中心、安全策略中心、用户管理中心等组成,各管理中心之间可以实现联动和组合,每个管理控制中心向上为业务应用模块提供策略控制,向下通过调用自适应基础网络模块的资源来响应业务应用对网络资源需求,从而实现业务应用与网络的高度融合。
立体安全模块:作为与自适应基础网络模块、管理控制模块、业务应用模块垂直交叉的立体安全策略,通过融合设备安全联动、线路安全保护、网络安全防御、用户安全控制、数据及业务安全控制等多个组件,向用户提供全方位、立体化的集成安全防护和安全服务。
业务应用模块指的是灵活多变的各种企业应用系统,通过管理控制模块运行于自适应基础网络之上。
通过以上所述四个模块协同联动,NGeN将企业信息网络平台构建成为一个有机的整体,面向企业业务应用,真正实现业务驱动网络。
这里主要介绍一下NGeN技术体系中的深度业务感知和智能安全防御系统在民航机场的应用方案。
二 民航机场信息化网络现状分析
大型民航机场,如,北京、上海、广州等地机场信息化起步较早,网络规模较大,多采用万兆/千兆以太网技术为骨干构建,各省城机场也基本上建成百兆或千兆以太网络,现在大部分机场都已经建成航班信息显示、行李控制、离港控制等基本信息化系统。
大中型机场网络可以看作一个城域网或大的园区网,网络分层设计,分为核心层、汇聚层、接入层。大型机场网络分为AOC中心、航站楼园区网、周边局域网、机场办公网、周边驻场单位局域网和连接SITA/中航信/航空公司等广域网。机场网络结构复杂,内部用户量非常大,通常大型机场一个航站楼就需要布放5000个左右信息点。
机场信息化应用系统包括:航班调动信息管理系统,航班信息显示系统,离港系统,泊位引导系统,行李、货物再确认系统,还有语音、视频监控系统、OA、ERP等。这些业务的数据是以AODB/TODB为中心,业务终端广泛分部在航站楼、办公楼、周边局域网。业务系统对网络基础设施具有特殊要求,实时性和可靠性要求非常高,有些机场网络要求7X24小时稳定运行,全年99.99%正常运行,机场网络的安全性要求更是毋庸多言。
当前网络存在问题分析,如同当前绝大多数企业网:网络整体处于不可控状态,如,机场整体网络资源调度不可控—如何真正使局域网、广域网资源根据不同业务来提供不同的带宽和服务质量?另外,机场安全体系不能动态联动,不能有效抵御来自外网的安全威胁,还有机场内部用户安全接入不可控,不能有效控制来自内部用户端的病毒和有意无意的攻击行为。
机场信息化基础建设的目标是:融合业务数据、语音和视频的高带宽、高可靠、高度可控,智能感知业务并动态调整网络资源,为机场业务信息化提供一个坚实的整体可控的安全网络平台。
三 NGeN构建深度业务感知的安全智能机场网络
3.1 构建深度业务感知的机场网络平台
概述:下一代机场网络深度感知机场业务
深度业务感知,指的是网络不光是IP报文的承载平台,而要智能感知IP所承载的业务,如:关键数据业务、语音业务、视频业务等,对于感知到的不同业务,采取资源动态调整--智能管理系统与网络协议体系配合,对业务进行全面管理和控制,动态部署QOS策略、路由策略及安全策略。这需要资源调度中心和网络设备实现联动。
深度业务感知网络体系结构:
对于机场业务感知,不是某部分局域网或数据中心边缘设备等对业务感知,而是整个机场信息化平台整体业务感知,机场园区网统一规划为智能管理中心—相当于业务感知的大脑,资源调度中心服务器将网络资源统一管理,实时探测网络资源的分配状况,结合业务优先级和服务质量设定,动态分配网络资源。资源调度中心不仅可以管理物理资源如设备、端口、带宽等,也可以管理逻辑资源如VLAN、VPN、用户等;所有网络设备支持在深度业务感知—感知关键数据业务、语音业务、视频业务,并在管理中心控制下动态调配资源;实现可控弹性路由—用于广域网或互联网出口;采用可扩展智能弹性网络—高度智能并且扩展性非常好的接入系统。
下面就深度业务感知技术在机场的应用一一道来:
1、深度业务感知在机场实现端到端服务质量保证
深度业务感知触发智能管理系统的策略,或者触发端到端资源调度策略,深度业务感知基于如下方法实现:
网络设备和控制中心能够针对IP数据包的任意层次深度剖析,动态分析其高层会话和连接状态,对于网络上的数据流能够尽在掌握。
对于感知到的关键业务系统流—航班调度、航显系统等,带宽和延时敏感性语音视频业务流等业务,业务调度中心可以通过端到端的QoS实施策略来保证服务质量。
机场园区网中数据流量很大,而出口带宽又是有限的,经常出现用户无休止的占用出口的带宽资源,主要表现在使用各种下载软件和P2P(BT)软件占用带宽很严重,导致连接数的增加和流量的突然增大,容易引起出口瘫痪。有了以上行深度业务感知系统,资源调度中心通过网络设备来控制用户的连接数和带宽,以解决恶性占用出口带宽,既能做到对单个用户进行连接数和带宽的限制,又能够做到对某一特定的应用(FTP和BT)进行总带宽的限制,并且通过对用户进行实时监控,基于统计信息来发现异常行为(连接数突增等),还可以采取相应的保护措施:产生告警、加入黑名单;根据用户的源地址限定用户的连接数和带宽。
有了如此深度业务感知系统保证业务服务质量,机场各业务系统必将更加高效、稳定运行。
2、RCR 弹性可控路由提高机场电子商务效率!
对于机场园区网的广域网出口,由于广域网线路带宽往往是2M—100M之间,随着业务流量增大会存在拥塞,并且在通向同一目标网络存在多条链路的情况下,还要考虑备份和分流问题。这一点问题比较明显的是互联网出口,机场园区网接入不同ISP,要求流量负载分担和互为备份,这一直是业界比较棘手的一个问题。以前是用策略路由、四层交换设备、BGP等,有时不具备条件,干脆将多出口作冷备份。如今有了RCR,这些问题可以迎刃而解。
RCR弹性可控路由图示:
弹性可控路由实现过程如下:
1.利用NetStream实时统计各数据流的流量;
2.利用Hwping定时探测网络,获取时延及服务质量信息;
3.NetStream和Hwping统计信息统一报告给RCR控制器;
4.RCR控制器获取统计信息后,综合带宽、流量、时延三元素下发路由策略动态调整路由选择;
5.实现多机业务负载分担
以上图示表示多出口路由器情况下,由RCR策略管理服务器来控制的智能出口路由控制和根据带宽使用情况来调整流量模型,如果一台出口路由器连接多个INTERNET出口情况会更简单些,可以实现带宽、流量、时延完成负载分担或在三元素基础上再考虑业务类型来实现负载分担。
应用了RCR,机场互联网业务更加稳定,电子商务效率提高,旅客上网速率提高!
3、IRF技术构建高性价比的智能弹性机场网络架构
华为-3COM创新推出的IRF(Intelligent Resilient Framework)技术,属于NGeN自适应基础网络的组成部分。通过IRF,我们可以实现机场网络的高度弹性智能扩展,将多台设备通过堆叠接口连接起来组成一个联合设备(Fabric),并将这些设备看作单一设备进行管理和使用,实现二层、三层的全分布式转发,并且互相堆叠的设备可以从一个配线间到几千米距离,大大增加了其适用范围,降低了管理成本,同时实现按需购买、平滑扩容,在网络升级时最大限度地保护已有投资。
IRF(Intelligent Resilient Framework)技术包括三个方面:DDM、DRR和DLA。
·DDM(分布设备管理):在外界看来,整个Fabric是一台整体设备。用户可以通过CONSOLE、SNMP、TELNET、WEB等多种方式来管理整个Fabric。
·DRR(分布冗余路由):Fabric的多个设备在外界看来是一台单独的三层交换机。整个Fabric将作为一台设备进行路由功能和二三层转发功能。单播路由协议和组播路由协议分布式运行并完全支持热备份,在某一个设备发生故障时,路由协议和数据转发都不会中断。
·DLA(分布链路聚合):支持跨设备的链路聚合,可以在设备之间进行链路的负载分担和互为备份。
华为3Com公司系列IRF交换机S6500/S5600/S3900交换机可以广泛配置在机场园区网、办公网小型汇聚层或接入层,高达240G的交换容量足以承担任何业务终端,这些交换机完全支持以上所述深度业务感知和动态资源调控,支持后面所述的EAD、IDS联动。
3.2 NGeN构建高度智能安全机场信息化网络
这里主要讲讲NGeN体系中安全联动和端点准入防御系统在机场网络应用。
前面提到,机场业务对于网络的安全性和稳定性具有特殊要求,短时的系统故障就意味着空侧和陆侧的无序,意味着多少航班飞机在空中盘旋,进而影响整个机场客货运运行。而机场信息化网络安全隐患众多,有来自外网的和来自内网的,来自外部的安全隐患,如:政府部门、航空公司、中航信、SITA、因特网。来自内部用户的安全隐患,如:航站楼用户、办公网用户,内部用户安全问题主要体现为病毒冲击和有意无意的攻击扫描导致网络不稳定。正因为如此,通常关键的业务系统如离港系统、行李处理系统、视频监控等采用物理隔离的方法来保证安全性,对于办公业务系统、电子商务等业务需要与互联网和航空公司、驻场单位、四检一关等外部互联的网络采用防火墙、IDS/IPS隔离,这些安全设备和网络交换机、路由器一起,根据集中统一的安全策略来实现彼此联动。对于来自大量内部用户带来的安全隐患,需要设置EAD(端点准入防御系统)来保证内部用户安全。
为了实现以上安全系统,同样需要在AOC或TOC集中设置安全策略中心和用户管理中心,安全策略中心有机协同IDS/IPS、防火墙、防病毒服务器等单点安全产品及路由器、交换机和网络终端,形成整体防御体系,实现安全策略的集中部署、安全事件的综合分析和安全风险的即时响应,构成“无缝”安全体系,保护现有安全资产。安全策略中心设置各种安全策略服务器,包括集中控制IDS/防火墙/交换机/路由器进行联动的服务器和控制终端用户接入的安全策略服务器,以及提供终端用户进行病毒库和操作系统补丁升级的服务器等。用户管理中心控制不良信息的发布和用户的网络行为;同时,将对网络资源的控制与人关联起来,提供基于角色的网络服务,确保合适的人、以合适的方式、在合适的时间、通过合适的网络路径,获取合适的信息。
安全联动系统使机场更加和谐有序!
以前的网络安全,用的较多的是防火墙和IDS,但防火墙、IDS、路由器、交换机,各个部件各司其职,互不联动或实现有限联动,不能有效实现整体动态安全防御系统,如今华为3Com公司提出智能联动系列解决方案,可以实现防火墙和IDS联动、IDS和路由器、交换机联动,可以应用在机场数据中心出口、广域网出口或机场内部网和驻场单位局域网之间,实现了网络智能安全可控。
联动的原理:IDS检测到攻击行为后,上报到管理控制中心,管理控制中心根据警报级别,采取不同的联动措施,可以控制防火墙、路由器、交换机实现阻断该攻击后续数据包。
SecEngine检测到攻击后不仅仅报警,还给交换机/路由器/防火墙发送ACL使得来自同一攻击者的后续攻击被阻断。虽然没有阻断首个攻击报文,但由于攻击通常要连续进行才能成功,因此联动仍然能够有效地保护网络。
可以看出,采用联动后的网络在使网络各个部件动态组合成“安全联盟堡垒”,使攻击行为很难突破这个堡垒。可以有效保证机场数据中心的安全,最大限度减少来自外网的安全冲击,从而使新型机场网络较传统机场安全性大大增强。安全稳定的机场必然使机场业务一切顺畅,物流、人流、信息流和谐,飞机起飞降落,旅客出入机场是那么忙而有序!
EAD帮助我们准时登机、快速取行李!
如何应对企业内部用户带来的安全隐患,如攻击行为和病毒传播等,这还需要对内部用户进行安全认证授权管理,需要机场内部用户接入认证授权方案。
对于各接入层终端用户,可以通过配置802.1x客户端软件然后配合安全策略服务器进行认证、授权,实现用户权限分配、IP地址MAC绑定等功能,对通过认证授权的用户,还可以提供Log,对其进行行为跟踪、记录,这就为系统管理员提供了基于用户的管理功能。
如果对用户安全性管理有更高要求,可以采用华为3Com端点准入防御系统(EAD):
EAD系统主要解决终端用户对网络的威胁,其体系结构包括前面所述的安全策略中心、安全认证客户端和支持EAD的网络设备。
EAD系统实施要求网络分为安全区和隔离区,安全区是正常运行的承载具体业务应用的业务区,隔离区是专门划分出来的一个VLAN或VPN,在隔离区设置病毒库和补丁库服务器,对于安装了相应客户端软件的用户,通过认证授权后,从安全策略服务器取得该用户安全策略,安全策略客户端会到安全策略服务器检查是否更新病毒库或打了补丁,只有病毒库同策略服务器一致并且操作系统最新补丁已经安装才能进入网络,否则只能被隔离到一个隔离区,在隔离区的用户只能进行打补丁、升级病毒库等操作,在这些操作完成后才能重返安全区。
通过EAD系统,可以看到,来自大量内部终端用户的安全隐患大大减少,网络安全稳定性大大增强,将其应用于离港系统和行李处理系统,我们在机场可以更加准时登机,到达目的机场后可以更加快速准确提取到行李。
四 机场信息化网络未来展望
通过以上NGeN技术体系在民航机场信息化网络的应用,我们隐约看到一个融合多种业务的、智能可控、安全可靠、资源动态可控的高品质IP机场网络,这种网络体系适合新时代民航机场的业务发展需求,必将提高机场办公效率,从而提高机场整体运行效益。
愿NGeN构建出更多新型机场信息化网络! |