项目背景
互联网是关系国民经济和社会发展的重要基础设施,深刻影响着全国经济格局、利益格局和安全格局。抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇,构建高速率、广普及、全覆盖、智能化的下一代互联网,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的必然要求。
下一代互联网是以IPv6(互联网协议第六版本)为核心的全新互联网架构,作为解决当今互联网(IPv4)发展瓶颈的手段,具有地址资源丰富、安全可靠等特点,可有效支撑大数据、云计算、移动互联网等新的信息化应用。通过发展下一代互联网,为经济与社会的长期可持续发展提供创新平台,对实施信息化战略,发展知识经济,优化产业结构,提升区域竞争力都具有重要意义。
全球互联网地址资源(IPv4地址)已在2019年全部分配完毕,向下一代互联网(IPv6)演进已经刻不容缓。党中央、国务院高度重视下一代互联网的发展,将下一代互联网列为我国未来七大战略性新兴产业之一。根据中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》要求,结合XXX政府的实际情况,实现IPv6升级。
政策依据
2017年11月26日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,行动计划提出,用5到10年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络。
在“升级改造测评指标”一章中提出了明确标准,包括IPv6基础网络可达、域名系统4A解析能力、互联网应用IPv6支持能力、IPv6访问稳定性、IPv6网络安全性等。
国务院办公厅关于《2018年政务公开工作要点的通知》(国办发〔2018〕23)号),要求推进政府网站部署互联网协议第六版(IPv6),省级政府、国务院部门要在年内完成门户网站相关改造工作,新建的政府网站要全面支持互联网协议第六版。
政府机构在IPv6改造中的责任与机遇
● 落实国家战略的要求:2017年11月26日,党和国家最高领导机构——中共中央办公厅、国务院办公厅联合印发了《IPv6规模部署行动计划》,代表IPv6已成为国家加快网络强国建设、加速国家信息化进程的重要战略。政府单位作为支撑经济社会发展的重要机构,承担带头作用责无旁贷。
● 加强技术储备与创新:IPv6是互联网技术产业生态的一次全面升级,有利于网络信息技术高效支撑移动互联网、物联网、云计算等新兴领域快速发展。政府单位也应在这次升级中提升信息化水平,加强政府单位数字化转型所需的技术储备与技术创新。
● 提升网络安全:IPv6能够有效提高网络安全管理效率,有助于政府单位创新网络安全保障手段,增强网络综合治理能力,进一步完善政府单位安全保障体系。
● 满足未来业务发展需求:IPv6是全球公认的互联网下一代商业应用解决方案,能够提供充足的网络地址和广阔的创新空间。政府单位发展IPv6有利于赢得未来发展主动,满足未来业务向互联网与数字经济转型的需求。
网络现状
目前XXX政府网站系统仅有IPv4链路,没有IPv6链路,并且由于前期规划不足,门户网站及相关应用尚未支持IPv6访问。
存在问题和差距
XXX政府信息化工作基础扎实,但原有网络和系统均基于IPv4,在IPv6升级方面仍然空白,急需行之有效的解决方案。
目前XXX政府的链路与网站系统仅支持IPv4,并不支持IPv6,已无法满足互联网发展与数字经济发展的需要;内部设备数量多,后续增加云计算、大数据、物联网等新兴应用或扩展现有或联网服务应用,将受到IPv4地址的限制,越来越多的IPv6终端用户无法访问XXX政府的相关系统或业务。随着IPv4网络规模的萎缩与IPv6网络的逐渐兴起,这一现象将日趋明显。
IPv6建设需求
根据中共中央办公厅、国务院办公厅关于《推进互联网协议第六版(IPv6)规模部署行动计划》整体部署,要求省属国企及政府单位按照“行动计划”部署要求,在2020年底前完成门户网站和公共服务系统的IPv6升级改造。结合XXX政府的实际情况,建设IPv6双栈转换平台,实现对XXX政府网络的双栈化改造。
IPv6建设方案
在XXX政府互联网出口建设IPv6转换平台,为门户网站提供IPv6转换服务,帮助XXX政府建设全套双栈化的网络环境。
开启IPv6转换平台的IPv6安全过滤系统,控制来访用户,过滤IPv6攻击,解决XXX政府IPv6防护较弱的问题。
通过IPv6转换平台可以有效解决XXX政府目前所遇到的IPv6升级改造问题与网络安全问题,在加固XXX政府网络的同时为站点进行IPv6改造。
建设目标
本次方案主要改造对象为XXX政府门户网站及相关应用,提供IPv6协议栈下的业务应用支持IPv6互联网用户的正常访问。实现以下几个目标:
●门户网站,向公众用户提供IPv6的访问服务。
●提供IPv6转换平台实时日志分析功能。
建设内容与优势
1.1IPv6转换平台建设
IPv6升级改造采用IPv4/IPv6双栈应用发布系统,该平台采用SDT6多种融合翻译技术,不仅无须修改IPv4原网站代码,而且部署灵活,不改变原有网络结构,对现有业务不产生任何影响。并且具备对文件、图片、视频等内容进行缓存,用户再次访问相同域名时可快速从IPv6转换平台返回,体验效果更佳,可快速批量完成网站升级。帮助网站及应用系统向IPv4/IPv6用户提供访问服务,在功能上解决网站外链导致的内容缺失问题(“天窗”问题),支持智能缓存和内容加速功能,支持DDoS攻击、网络病毒等防范能力,支持网页浏览(HTTP、HTTPS)、邮件(POP3、SMTP)、视频等应用协议;在可靠性上要求所有环节都实现冗余备份;在扩展性上要求采用分布式架构,可以因业务需求随时方便地通过增加处理单元扩展平台的整体处理能力。
SDT6技术方案是IPv4向IPv4/IPv6双栈演进过程中相对成熟、稳定、可靠的解决方案。在于当IPv6用户访问IPv4源站时,将会先访问IPv6转换平台,IPv6转换平台通过IPv4通道向IPv4源站访问,再返回于IPv6用户,整个流程沿用了原有的IPv4等保体系,最大限度保障网络与信息资源安全,保障系统稳定可靠运行。IPv6内容加速平台,具备支持访问控制、安全检测等一系列安全功能,支持完整的网络监控、报警和故障处理等功能。
本项目采用基于SDT6翻译技术的整体解决方案,不改变门户网站的原有网络结构、无须修改现在有IPv4原站代码、通过旁挂方式进行部署、并且沿用了原有IPv4等保体系,对互联网应用基本上没有任何改动及影响;解决方案整体风险管控能力极强。
本方案使用的IPv4/IPv6双栈应用发布系统,采用分层、模块化设计思路,自底向上分为硬件平台层、中间层、协议转换层和应用层;硬件平台层主要由承载网络、协议处理等关键设备组成;中间层通过引入分布式集群、负载均衡、缓存加速等技术,将底层硬件平台整合成具有海量存储容量和大规模处理性能的超级计算机;协议处理层是整个平台的核心,包括网络层转换和应用层转换两大模块,网络层转换在TCP/IP协议的网络层对IPv4/IPv6流量进行通用的转换处理,通过地址和端口映射等方式实现IP报文的跨网交换,应用层转换通过针对不同的应用协议定制不同的应用网关,实现更快、更优、更高效的IPv6协议转换效率。通过IPv6转换平台快速实现互联网应用的IPv6升级改造,支持IPv6用户访问,满足国家主管单位的考核及验收要求。
1.2IPv6升级基础平台部署
IPv6转换平台实现IPv4网站与IPv6用户之间的无缝互通,支持主流互联网业务流量;支持分布式架构,可通过增加网元设备提高业务容量;支持设备级的热备份,平台管理单元和业务单元实现设备级的冗余备份,当一台设备出现故障,其业务能自动切换到其它设备上,确保用户访问不受影响,从而达到电信级的可靠性;能有效解决网站由于引用外部IPv4资源导致的翻译失败问题(简称“天窗问题”),确保IPv6用户的访问体验不低于IPv4用户。
网站通过IPv6转换平台进行升级,支持IPv6用户访问时,需在DNS域名解析服务商增加提供的网站对应AAAA记录,该AAAA记录的IPv6地址指向IPv6转换平台。至于网站本身的网络部署和程序架构都无需做任何修改。
当IPv6用户准备访问通过该平台升级的网站时,用户首先向运营商DNS(或自行指定的DNS)查询网站所对应的IP地址,IPv6用户发出的DNS请求类型为AAAA,运营商DNS则从网站授权DNS上获得相应的AAAA记录,并把对应的IPv6地址反馈给用户。该IPv6地址就是转换平台给网站分配的IPv6地址。IPv6用户向解析回来的IPv6地址发出HTTP/HTTPS请求,该请求被路由到IPv6转换平台上,平台把从网站同步过来的信息直接反馈给用户,从而帮助网站满足IPv6用户的访问需求,实现应用双栈化的目的。IPv4用户访问IPv6网站时,业务流程与IPv6用户访问IPv4网站的流程类似。
项目概况
互联网是关系国民经济和社会发展的重要基础设施,深刻影响着全国经济格局、利益格局和安全格局。抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇,构建高速率、广普及、全覆盖、智能化的下一代互联网,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的必然要求。
下一代互联网是以IPv6(互联网协议第六版本)为核心的全新互联网架构,作为解决当今互联网(IPv4)发展瓶颈的手段,具有地址资源丰富、安全可靠等特点,可有效支撑大数据、云计算、移动互联网等新的信息化应用。通过发展下一代互联网,为经济与社会的长期可持续发展提供创新平台,对实施信息化战略,发展知识经济,优化产业结构,提升区域竞争力都具有重要意义。
根据中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》和江苏省委办公厅、省政府办公厅印发《江苏省推进互联网协议第六版(IPv6)规模部署行动计划》要求,结合XXX集团实际情况,优化XXX集团的网络模式,实现IPv6升级与互联网管理的一体化统一效果。
政策依据
国务院办公厅关于《2018年政务公开工作要点的通知》(国办发〔2018〕23)号),要求推进政府网站部署互联网协议第六版(IPv6),省级政府、国务院部门要在年内完成门户网站相关改造工作,新建的政府网站要全面支持互联网协议第六版。
2017年11月26日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,行动计划提出,用5到10年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络。
国务院办公厅电子政务办公室下发的《关于推进国家电子政务外网互联网协议第六版(IPv6)改造工作的通知》文件要求,2019年6月底前,地市级电子政务外网开展IPv6改造工程实施。
苏网办发【2018】70号关于印发《江苏省IPv6规模部署升级改造实施指南》,在“升级改造测评指标”一章中提出了明确标准,包括IPv6基础网络可达、域名系统4A解析能力、互联网应用IPv6支持能力、IPv6访问稳定性、IPv6网络安全性等。
2020年,江苏省“网络强省”文件中也明确提出了省属国企应在2020年内完成企业门户网站及相关应用系统的IPv6升级改造。
国资委发布《关于做好省属企业互联网应用IPv6升级改造工作的通知》,要求省属国企按照“行动计划”部署要求,在2020年底前完成门户网站和公共服务系统的IPv6升级改造的规划。
大型智慧园区在IPv6改造中的责任与机遇
● 落实国家战略的要求:2017年11月26日,党和国家最高领导机构——中共中央办公厅、国务院办公厅联合印发了《IPv6规模部署行动计划》,代表IPv6已成为国家加快网络强国建设、加速国家信息化进程的重要战略。国企和园区作为支撑经济社会发展的重要机构,承担带头作用责无旁贷。2018年3月12日,国资委印发了《关于做好互联网协议第六版(IPv6)部署应用有关工作的通知》,要求国企在完成门户网站和面向用户的在线服务窗口的IPv6改造。
● 加强技术储备与创新:IPv6是互联网技术产业生态的一次全面升级,有利于网络信息技术高效支撑移动互联网、物联网、云计算等新兴领域快速发展。应在这次升级中提升信息化水平,加强企业数字化转型所需的技术储备与技术创新。
● 提升网络安全:IPv6能够有效提高网络安全管理效率,有助于创新网络安全保障手段,增强网络综合治理能力,进一步完善网络安全保障体系。
● 满足未来业务发展需求:IPv6是全球公认的互联网下一代商业应用解决方案,能够提供充足的网络地址和广阔的创新空间。发展IPv6有利于赢得未来发展主动,满足未来业务向互联网与数字经济转型的需求。
网络现状
XXX集团目前拥有AA、BB两个企业数据中心,数据中心通过专线互联;内网方面,各子公司通过专线接入数据中心,访问内网业务;外网方面,子公司拥有独立互联网出口提供互联网访问业务,网络内部大约有10万个网络设备。主要现状为:
● 集团内部所有网络只支持IPv4协议;
● 集团门户网站已迁移至公有云,目前公有云只为集团网站开通了IPv4服务,需督促公有云尽快为集团开通IPv6服务;
● 各子公司的信息化程度层次不齐,信息化规范不统一;
● 各子公司信息化人员层次不齐,或缺;
● 安全防护级别不同,安全措施差别较大,对核心业务有较大的威胁;
● 管理方面信息化不统一,业务扩展不一致,增加了运维难度;
● 由于分散管理,带来了较高的运营成本以及安全管控风险。
现有网络拓扑图如下:
存在问题和差距
XXX集团信息化工作基础扎实,但原有网络和系统均基于IPv4,在IPv6升级方面仍然空白,急需行之有效的解决方案。
目前XXX集团的专线链路与应用系统仅支持IPv4,并不支持IPv6,已无法满足互联网发展与数字经济发展的需要;集团内部设备数量多,地址设置复杂,无法进行统一管理,且由于IPv4地址数量的限制,难以进行统一地、针对性地管理;后续增加云计算、大数据、物联网等新兴应用或扩展现有或联网服务应用,将受到IPv4地址的限制,越来越多的IPv6终端用户无法或访问XXX集团的相关系统或业务。随着IPv4网络规模的萎缩与IPv6网络的逐渐兴起,这一现象将日趋明显。
中共中央办公厅、国务院办公厅于2017年11月26日印发的《推进互联网协议第六版(IPv6)规模部署行动计划》(厅字【2017】47号文)中明确的“2020年末,市级以上政府和国有企业外网网站系统应全面支持IPv6”的要求不符。随着IPv6演进时间窗口的不断收缩,XXX集团IPv6演进的压力将越来越大。
XXX集团子公司和分支机构众多,目前各个单位互联网出口各自管理,缺乏统一的出口管理体系,也还没有进行统一的出口身份认证、审计体系。作为IPv4向IPv6迁移阶段不可或缺的IP地址管理凸显出来,128位的IPv6难于记忆,地址分配、维护、管理也是一个难题。对照国家政策要求,企业网络深度改造、应用提升的空间巨大。
XXX集团对内对外应用众多,不同业务系统独立身份认证,缺乏统一的业务系统身份认证体系以及访问认证统一审计。这样一方面存在安全隐患,从长期看也增加了开发难度、工作量和成本,好造成管理复杂。
以集团互联网IPv6升级为起点,建议XXX集团借助IPv6规模部署的契机,推进办公网、生产网与互联网的整合优化,重构企业网络架构,实现统一智能运维、安全集中管控,资产全生命周期管理、打通网络孤岛等。更进一步,推进下一代互联网相关技术与企业生产、经营业务的融合创新,促进企业数字化转型升级。
调研与需求分析
1.1现状分析
根据对集团以及子公司的的网络拓扑分析与交流,目前集团的网络中存在以下几个问题:
系统支持通过SNMP主动扫描、ARP、NS协议被动侦听分析等方式扫描网络全部数字资产,结合DHCP搜集内网终端,建立了一个终端的全部信息管理,包括IP、MAC、计算机名、交换机位置、端口、VLAN等多元素信息,可以对MAC地址进行实名制信息登记,通过MAC地址确定使用人,设备出现问题可以通过IP对设备进行快速定位。
1、目前各子公司的信息化程度不同,信息化规范不统一,在各子公司单独使用网络出口,网络管理较困难,网络安全问题大范围存在;
2、集团内部使用v4地址,各自使用私有地址进行网络互联,存在地址混乱、难以溯源等问题;
3、集团网站与部分对外应用依旧使用v4地址,需要优先转换成v6地址,完成国家战略目标;
4、部分子公司设备老旧,存在IPv4孤岛,需要建立IPv4与IPv6的交换平台,避免IPv4孤岛存在;
5、使用多条运营商线路,需要对线路进行优化与负载均衡,保证网络通路流畅;
6、需要规划DNS的解析调度,建立自己的DNS权威解析服务和DNS加速服务,提高业务间访问的灵活度和速度。
7、需要建立统一的互联网和局域网接入身份认证体系,访客接入局域网和互联网需要身份认证。应用缺乏统一SSO认证,每套系统独立一台认证身份,增加了管理难度和业务使用复杂度。
8、数字资产探测与管理:没有有效手段发现识别网络中各个地址段在线终端数量和在线终端移动的过程,更没有历史趋势的统计分析。需要自动扫描数字资产并登记汇总,由系统进行统一维护管理。
9、应用质量和持续性监测:目前系统中跑着各种各样的应用,应用本身也是一种数字资产,应用业务监测模块部署并通过独立的业务质量监测系统业务的稳定度、可用度和质量。
10、考虑到互联网统一出口以后,各分子公司网络流量会汇聚到三大数据中心进行流量交换,专线带宽可能不足,后续将讨论与论证是否需要新增专线或自建光纤传输以支持统一出口方案。
1.2解决思路
针对以上几点问题,应对解决思路如下:
(一)实现网站和业务系统的IPv6升级改造以及互联网出口的IPv6升级改造;
(二)建立“三地三中心”的集团互联网统一出口,部署统一出口集群网关,实现全部出口支持双栈转发,集中管理。
(三)实现统一的集团网络地址分配于管理,自建DNS权威解析和缓存加速。
(四)部署统一的身份认证平台,实现局域网和互联网身份统一认证。
(五)部署应用统一认证系统,实现应用的sso身份认证和认证审计。
(六)部署资产探测和运维系统,实现设备与资产可视化管理,实现链路、应用、互联网出口质量全监测。
(七)部署云网互联平台,实现部分机构自建专线,以达到安全、快速部署、多运营商容冗余。
1.3建设目标
通过项目的建设,最终可以达到以下目标:
(一)管理统一
本方案使用了主控设备进行一体化管理,同时在另外两地建立备控,采用热备方式进行无间断的配置备份。将相关系统数据接入主控平台,由主控平台进行统一管理。通过主备平台统一管理,可以有效解决包括访问控制、地址管理、流量管理、流量监控、数据分析等一系列问题。
(二)身份统一
通过统一的身份认证平台对内网用户进行认证,对通过认证的用户或设备允许入网链接,对未知设备或未经许可的用户进行禁止入网操作。通过统一的应用SSO系统,实现所有应用统一身份管理、认证、审计。从而降低应用开发成本、提高安全性以及操作便利。
(三)地址统一
本方案提供了融合型DHCP、可视化IP地址管理、交换机端口管理等功能。提供统一的管理界面,简化静态和动态IP地址的运维管理。
自动化IP地址管理设备部署后,将抛弃传统的手工设置固定IP地址的方式,全部采用自动获取地址,同时支持IP/mac的绑定推送。实现IP地址的有效分配、绑定、追踪、回收、审计,简化故障IP地址的诊断、定位和排除。
如果结合AX模式,可以IP网络到ID网络的转换,网络地址、权限、VLAN随本人的账户移动,实现在任何位置该账户地址、VLAN不变。
系统提供基于证书、用户密码、MAC、Ukey等不同类型的准入认证。
(四)链路统一
通过本方案改造,建立“三地三中心”的集团统一模式后,各子公司链路都接入到就近机房进行统一管理,子公司通过专线或SDWAN技术与中心机房互联,进行统一流量规划与控制。
(五)安全统一
通过对原有设备的替换与利旧,采用统一管控,统一防护的安全模式制定统一的安全防护策略,去除各子公司的对外互联网出口,由三地机房统一管理,大大减小各部门或各子公司的安全风险。
建设方案
1.1建立集中的集团互联网统一出口
● 取消各分子公司互联网出口,集团统一出口管理;首批接入9家下属企业;
● 规划设置3个出口网络,
● 三个网络中心专线互联,各分子公司重新规划就近接入;
● 针对各分子公司网络接入状况,重新规划地址分配、路由策略,安全策略,确保内网业务和互联网业务正常访问,且实现安全隔离;
● 分子公司专线接入及三大网络中心专线互联根据实际情况规划带宽性能分配;
● 针对主要业务合理分配流量优先级,保证服务质量;
● 规划DNS解析调度策略,实现多分子机构、多网络中心、多数据中心之间的业务访问的灵活调度。
● IPv4、IPv6并行,在对原有网络完全无影响的情况下先从IPv6开始建设,最终双栈并行。
改造设备部署规划如下图:
1.2出口IPv6接入区
由于目前XXX集团旗下分子公司均有自己的互联网出口,且网络内部信息化程度参差不齐,不仅互联网链路投资冗余复杂,且容易遭到各类攻击,造成不必要的损失。本次方案计划将各子公司互联网出口集中统一到就近的数据中心,统一进行网络出口管理,这样既可以方便管理,又可以减少各单位互联网链路投资,并有效减少遭受攻击的风险,防止网络资产损失。
部署计划
在每一个数据中心最外侧新增出口IPv6接入区,新增一体化接入网关以及IPv6接入设备,对本地数据中心出口进行统一管理。各子公司线路优化,择优、择近接入数据中心,实现统一出口。将一体化防火墙网关作为IPv6线路的网络出口,原有IPv4网络出口不变,让IPv4与IPv6两条线路同时存在,并按时间与计划逐步向IPv6转移,最终实现IPv6单栈化。根据接入运营商链路的数量,配置相应的负载均衡规则,使出口流量更加合理。
具体功能部署
完成基础配置后,可开启以下功能:
1、权限管理:根据企业组织架构的分工,对不同公司、不同部门进行权限划分。由于公司职能各有千秋,或有些资料不方便进行传播,此时开启权限管理即可对不同公司或部门进行网络隔离,防止资料在内网间进行不必要的传播,这样防止了越权访问,同时也保护了重要信息的安全性。
2、上网管理:由于XXX集团员工多,层级多,可能会出现一些影响工作效率的活动发生。在一些关键部门,还带来了不少的安全隐患。因此开启上网管理功能,根据内置的规则,监测用户访问的网站与应用,屏蔽一些与工作无关的应用活动,提高员工工作效率。
3、负载均衡、链路优化:多出口保证了出口的稳定和冗余,通过不同的策略可以做到不同业务、人员、区域走不同的出口。支持按照运营商、人员、服务等的负载均衡。
XXX集团出口承载多条运营商IPv4线路,目前没有IPv6线路,同时运营商之间也是设置主备关系,没有进行均衡使用。为了使三地三中心均支持IPv6,开启IPv4/IPv6双栈模式,同时为IPv6提供安全防护能力,需要一体化出口网关进行出口管理。
一体化防火墙出口网关是一种灵活软件刀片构架,集成硬件设备,形成一种综合、即用的安全网关解决方案。集成安全刀片,管理刀片,网络基础刀片等多种功能一体化的系统,全面满足下一代企业级有线无线一体组网需求,可持续、简单、高效地提供下一代网络组网、安全、管理需要。
一体化防火墙出口网关提供完整网络身份认证、上网权限管理、网络行为审计、网络使用分析、流量管理、网关接入、攻击检测、漏洞扫描、边缘威胁防护等功能。
1.3 IPv6管理区
在XXX集团接入了IPv6以后,由于IPv6地址的长度与数量原因,原有的IPv4管理方式难以继续管理IPv6地址,需要增加DDAI统一接入管理平台进行统一管理。将DDAI统一接入管理平台接入IPv6管理区,替代原有DNS服务器与DHCP服务器,同时承载IP自动分发功能,使终端用户能够体验无感升级IPv6的感受。
1)管理区部署集群网关系统和网络转换平台的主控、备控系统。通过在主控上集中配置,集中管理网关平台和网络转换翻译平台。
2)管理区部署统一身份管理认证平台。实现局域网、互联网上网统一身份认证、权限统一规划管理。部署业务统一认证平台,实现所有业务的统一认证管理。
3)管理区同时部署基础核心服务和资产运维平台,实现设备与资产可视化管理,实现链路、应用、互联网出口质量全监测。
4)未来预留部署云网互联平台,实现部分机构自建专线,以达到安全、快速部署、多运营商容冗余。
部署计划
替换原有DNS服务器与DHCP服务器,在原位置放置DDAI统一接入管理平台作为IP
v6管理区。主备模式部署统一身份管理认证平台和全域感知和资产运维平台。
实现以下几个功能:
1、接管原有DNS服务器与DHCP服务器,继续乘载原有工作;
XXX集团出口承载多条运营商IPv4线路,目前没有IPv6线路,同时运营商之间也是设置主备关系,没有进行均衡使用。为了使三地三中心均支持IPv6,开启IPv4/IPv6双栈模式,同时为IPv6提供安全防护能力,需要一体化出口网关进行出口管理。
2、为终端提供IPv6地址的管理;
3、开启VX和AX模式,提供内网地址分配与准入。
4、为互联网上网用户提供身份认证服务,可以在网关上启动身份认证功能,这样用户需要输入用户名、密码后才能接入互联网。
5、实现设备与资产可视化管理,实现链路、应用、互联网出口质量全监测。
由于IPv6线路接入,IPv6地址数据海量增加,传统的手段很难记忆地址和管理地址,故采用本DDAI统一接入管理平台进行IP地址的管理与设备的管理。DDAI产品融合DNS,DHCP,IPAM三项企业核心网络服务功能,在实现DNS、DHCP和IP地址管理等多种网络基础服务的统一管理基础上,通过可视化运维管理手段,提升IT网络运维效率,降低网络运维难度,提供“简化的IT体验”和“安全的IT管理”。主要功能包括:
1、IP地址管理功能
DDAI统一接入管理平台可以进行IP/MAC地址的分配和自动化开通,实现集中式、有效的IP地址管理审计,同时支持IPv4/IPv6地址协议。通过IP开通自动化来控制操作成本;提供实时、准确的交换机端口和IP/MAC的对应信息,协助IT维护人员对故障IP地址进行快速定位;实时跟踪IP/MAC地址的变更,及时对废弃的IP地址进行回收和再利用,优化网络资源的使用率。
自动化的IP地址管理设备部署完毕后,网内终端设备将摒弃传统的手工设置固定IP地址的方式,全部采用自动获取IP地址的方式;可让管理员有效管理子网和地址池,并能实现IP地址的有效分配、追踪、回收、审计以达到对网络可视性管理的目的。
2、数字资产监测运维功能
平台提供数字资产登记汇总功能,需要网络设备管理人员将原来维护的IP地址、MAC、位置信息、负责人、部门等信息整理成DDI设备可以识别的格式,并核对无误后导入整理好的信息,由系统进行统一维护管理。
DHCP分配地址后,系统支持通过SNMP主动扫描、ARP、NS协议被动侦听分析等方式扫描网络全部数字资产,结合DHCP搜集内网终端,建立了一个终端的全部信息管理,包括IP、MAC、计算机名、交换机位置、端口、VLAN等多元素信息,可以对MAC地址进行实名制信息登记,通过MAC地址确定使用人,设备出现问题可以通过IP对设备进行快速定位。
自动发现的过程中可以搜索到网络设备并识别设备类型和厂商型号,生成设备的面板图。搜索设备资源,如端口、CPU、内存、磁盘等,发现设备之间的链路关系。
自动生成系统拓扑图,支持通过图形化的方式,将网络拓扑关系展示出来,在拓扑中以不同颜色设备图标实时展现设备的实时状态信息。
3、IP地址绑定和网络准入
在DDAI的VX地址分配模式下,只有系统注册登记过的终端才能分配地址。系统终端资产列表种不存在的终端可以分配临时游客地址供终端登记,管理员审核后再分配正式地址。DDAI的VX模式同交换机DHCP Snooping+DAI功能进行联动实现准入功能,对私接路由和手动更改IP地址用户,进行阻断并审计跟踪到责任人。在交换上开启DHCP Snooping +DAI功能后,交换机会生成包含设备IP/MAC对应信息的Snooping Binding表,在上网设备进行数据通信时,交换机会在端口检测上网设备数据包的IP/MAC与SNOOPING binding表中的IP-MAC对应关系是否一致,当终端设备更IP、MAC或更换端口后交换机将发出告警通知,同时对手工设置变更IP、MAC的设备再端口进行阻断。Snooping功能生成Snooping Binding表的同时,会拒绝非信任端口下DHCP Server的数据包,将有效的切断伪DHCP服务器的连接,DAI功能禁止用户私自手工设置IP地址,保证管理员的IP数据的准确性。
4、IP地址分配审计功能
DDAI设备会详细记录每个MAC地址使用不同IP地址的时间段,可以根据事件关联的 IP地址及其发生的时段,反推出该IP地址在那个相应时段所对应的MAC地址。MAC地址的审计详细记录每一MAC地址在不同时间段的网络接入点,即每一 MAC地址在不同时段接入的交换设备端口。这样就可以根据IP地址关联的MAC地址结合时间段,反推出该MAC地址的接入交换机端口,即定位到事件关联 IP的物理终端上。
5、双栈主机配置协议(DHCPv4/V6)
在IP网络中,每个连接Internet的设备都需要分配唯一的IP地址。DHCPv4使网络管理员能从中心结点监控和分配IP地址。当某台计算机移到网络中的其它位置时,能自动收到新的IP地址。
向 IPv6主机提供有状态的地址配置或无状态的配置设置。IPv6主机可以使用多种方法来配置地址:无状态地址自动配置,用于对链接本地地址和其他非链接本地地址两者进行配置,方法是与相邻路由器交换路由器请求和路由器公告消息。有状态地址自动配置,通过使用DHCPv6的配置协议,用来配置非链接本地地址。
6、IP地址实名绑定推送
管理员出于管理性规范性考虑,在开启DHCP的情况下不允许设备IP地址随意变动,必须IP-MAC一一对应,可以使用IP地址绑定推送功能,系统通过识别设备MAC地址,固定下发与MAC相对应的的IP地址,同时对IP进行实名制信息备注,提高IP地址管理的准确性和规范性。绑定推送功能在效果上与使用静态IP地址相同,同时在变更地址、更换上网设备、更换办公地址等情况下,减少了网络管理员手工输入配置IP地址的工作量。
7、权威DNS解析和DNS缓存加速
企业不断扩大的网络访问规模和严峻DNS安全形势下,公共或运营商DNS已经无法满足企业可视化管理、高可用、安全、灵活调度等诸多要求。
DDAI通过DNS缓存,递归、授权,提供更加全面,可用,安全的企业DNS解决方案
1.丰富的服务策略,提供域名解析IP过滤或优先选择、域名强制解析、域名封堵、错误域名重定向等策略功能;
2.可视化的管理监控,对整个DNS系统管理监控,威胁告警;
3.DNS集群的多主DNS方案,保障提供7*24小时无间断服务。
1.4 IPv6交换区
构建新的IPv6承载网络,转换IPv4原站,故采用IPv6网络转换平台以实现集团网络的IPv6升级改造。IPv6网络平台系统,采用网络层协议转换和应用层协议转换相融合的翻译技术,在不修改网站代码和不改变原有网络结构的基础上,实现对文件、图片、视频等内容的缓存,用户再次访问相同域名时可快速从 IPv6网络转换平台系统返回。采用灵活部署的方式,同时能有效解决网站由于引用外部IPv4资源导致的翻译失败问题,确保IPv6用户的访问体验不低于IPv4用户,快速批量业务系统升级,提供IPv6访问服务。
主要功能
1、IPv4/IPv6翻译功能:融合应用层和网络层协议转换,支持 IPv4/IPv6 双向翻译,应用层转换处理 HTTP ALG、FTP ALG 和 NAT64 等服务,网络层转换处理流媒体等服务。
2、集群部署功能:由多台IPv6转换平台组成集群统一对外服务,当任意一台设备出现故障,其业务能自动切换至其它设备。
3、负载均衡功能:支持多个虚 IPv4/IPv6 地址,支持自组织的集群模式,无需部署独立负载均衡设备,所有设备对等,支持虚 IP 地址的自动故障切换。
4、内容缓存加速功能:支持高并发流量缓冲功能,支持 JPEG、GIF、MP3、MP4、WMA、ZIP、RAR、FLV、LETV、F4V、EXE、ISO、APK 等资源的缓存。
5、智能域名解析功能:根据用户网络连通性进行智能的优质链路选择功能,并可实现 IPv4(A)记录和 IPv6(AAAA)记录的转换和翻译,支持多种记录格式的解析和泛解析,包括 A 记录、CNAME 记录、NS 记录、AAAA 记录、MX 记录和 PTR记录等。
6、IP 地址分配:支持基于动态地址分配协议 DHCP 和 DHCPv6 的功能;支持自动分配 IPv4地址和 IPv6 地址。
2、为终端提供IPv6地址的管理;
7、网站 IPv6 检测功能:支持网站所有页面和业务(含外链)IPv6 访问占比率统计和分析,对翻译效果进行自查和整改,同时可对坏连和死链进行处理,提升网站访问质量。
8、设备管理功能:支持平台系统信息,如内存、CPU 利用率、网络带宽、服务软件状态等内容进行实时监控,可以及时发现问题并及时处理。
9、IPv6 用户溯源功能:包括网络转换日志、应用转换日志、网站数据分析、客户端 IP 统计、页面统计、域名统计,可用于进行 IPv6 用户的访问信息溯源。
1.5 身份统一认证(网络和业务系统)
考虑到XXX集团旗下分子公司均有自己的互联网出口,且内部信息化程度参差不齐,接入认证机制差,用户需要记录多个系统的密码,操作繁琐。各个系统之间账号不统一,形成信息孤岛,导致维护成本增加。针对员工应用的各种系统,不能有效的进行用户账户信息统计,导致员工在离退休时不能及时的清除这部分账户,为公司以后的工作带来隐患。外来访客未做良好的管控,极易遭受到网络的攻击,降低了网络安全性,提升了维护成本。本次方案计划将各出口集中统一到就近的数据中心,统一进行网络出口管理,通过统一的认证服务、授权服务、集中管理用户信息、集中审计有效的解决以上问题。
认证平台内置Radius、LDAP和web认证服务,内置CA中心,可以生成证书及管理证书。支持账号的添加、修改和配置。可以配套支持8021x客户端认证以及网关上网认证。
部署业务统一认证平台实现所有业务系统的统一身份管理和一次认证。在统一业务认证平台认证后即可实现所有业务系统认证,实现所有业务系统一套账户、密码。
部署计划
在管理区部署认证平台,对本地数据中心出口用户进行统一身份统一认证管理。或部署DDAI设备对用户提供身份认证功能。支持对用户密码认证、短信认证、微信认证、一键认证等多种形式,即支持内部账户、也支持外部ldap账户。统一集中管理公司的所有员工,为所有员工账户设置生效起始结束日期,及时不对用户做任何操作,在权限生效期外的用户也无法通过认证保证了系统的安全性。为用户提供一键登录功能,实现用户的一键便捷登录。
具体功能部署
1、身份认证管理:由于XXX集团员工及外来人员过多,层次不一,可能会出现一些权限越级的发生。在一些关键部门,还带来了不少的安全隐患。因此身份认证管理功能,根据账户属性设置不同权限,提高公司网络的安全性。
2、权限管理:根据企业组织架构的分工,对不同公司、不同部门进行权限划分。由于公司职能各有千秋,或有些资料不方便进行传播,此时开启权限管理即可对不同公司或部门进行网络隔离,防止资料在内网间进行不必要的传播,这样防止了越权访问,同时也报货了重要的信息安全。
3、上网管理:由于XXX集团员工多,层次不一,可能会出现一些影响工作效率的活动发生。在一些关键部门,还带来了不少的安全隐患。因此开启上网管理功能,根据内置的规则,监测用户访问的网站与应用,屏蔽一些与工作无关的应用活动,提高员工工作效率。
4、审计服务:为确保信息访问的安全性,系统提供了对用户认证访问过程中所有的操作进行全程监控的功能,一旦出现什么问题,可以及时的溯源。
5、业务SSO:通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理。
1.6 基础资源和数字资产监测
考虑当下面临着资产数量庞大、分布广、型号多、变动频繁的难题,想要管理起来费时又费力,效率极其低下,资产的位置和状态更无法实时获知。如何将国信集团资产进行可视化实时管理,有必要研究运用一套先进的智能物联管控系统来提升资产管理的效率。
网络链路质量监测感知,系统部署模式采用平台加探针,支持主动监测与被动监测。通过将链路当资产进行管理,有效掌握链路情况,包括数量、带宽、维护人等。同时链路资产实时关联链路质量监测数据,通过在接入节点部署监测探针,探针间执行互通测试,具备多链路智能检测功能,可实现网络真实带宽测试、链路质量测试等。可掌握各网络结点的连通质量、稳定性及互通性等内容,提高网络的健壮性与稳定性。
应用本身也是一种数字资产,应用业务监测模块部署并通过独立的业务质量监测系统考核业务的稳定度、可用度和质量。
业务登记汇总:对整个业务应用全面登记汇总,明确业务负责人和业务运行环境。
业务质量监测:通过主动模拟业务访问,监测业务服务稳定度、持续度和质量。
业务网络监测分析:通过端口镜像方式得到业务的流量,部署网络探针主动分析业务访问流量数据,包括访问流量、人数、业务分类、高峰时段等。
(通过监测分析网站、业务,实时分析业务访问质量、业务通断情况)
部署计划
数字资产监测管理平台提供数字资产登记汇总功能,需要网络设备管理人员将原来维护的IP地址、MAC、位置信息、负责人、部门等信息整理成DDI设备可以识别的格式,并核对无误后导入整理好的信息,由系统进行统一维护管理。
系统支持通过SNMP主动扫描、ARP、NS协议被动侦听分析等方式扫描网络全部数字资产,结合DHCP搜集内网终端,建立了一个终端的全部信息管理,包括IP、MAC、计算机名、交换机位置、端口、VLAN等多元素信息,可以对MAC地址进行实名制信息登记,通过MAC地址确定使用人,设备出现问题可以通过IP对设备进行快速定位。
1.7 专线覆盖与接入/ SDWAN接入区
专线接入要求原有专线职能不变,同时新增IPv6传输职能。由于部分子公司原有公网出口需要提供部分互联网服务,根据需要,拟租用运营商裸光纤传输,为子公司提供足够的出口带宽,保证原有互联网服务的正常运行。同时也对互联网进行有效的安全的管理。
SDWAN接入区方案:
通过前期调研了解到目前XXX集团有35家二级单位通过专线接入现有数据中心,大部分专线由10M移动与4M联通进行主辅的方式与数据中心连接。除去这35家已经接入专线的子公司,仍有约15家子公司没有接入数据中心。未接入的15家单位建议通过SDWAN技术,通过将运营商公网定义为私网的方式进行专线部署。
SDWAN技术即软件定义广域网,是为了解决MPLS专线成本高、维护困难而出现的新兴WAN广域网技术。SDWAN在搭建在运营商公网的基础上,整个网络架构还是基于Internet和MPLS专线,但是在架构上会存在一个SDWAN控制器,通过软件定义产生一条专线。
SDWAN相比于专线有着成本低、负载均衡、便于维护等优势,同时也方便中心数据机房对各子公司进行流量分配与控制、流量监控等优点。由于出口统一的缘故,原有专线肯定无法满足各子公司的日常办公需求,各子公司专线带宽需要扩容,这在成本上将是一大笔预算。而SDWAN技术使用运营商公网,不需要专线加持,在成本上仅需考虑SDWAN控制器的成本与运营商公网,与专线的成本相比微乎其微。
传统专线是基于运营商MPLS链路或L2TP模式,MPLS VPN本身并不具备数据加密功能。也不支持数字证书认证,关键核心数据跑在基于专线的VPN上存在极大隐患。
传统的专线新业务发放速度慢,需要经历营业厅申请、业务调试、现场配置等多个环节。从业务申请到开通往往需要长达 数周的时间。云化趋势下, 企业业务更新发展迅速,当前网络难以满足快速上线要求。传统网络技术僵化,难以满足业务敏捷性的需求,尤其是随着企业云化需要的增长,WAN难以满足发展需求。
传统网络对业务不感知,无法获知应用的状态,当遭遇突发流量链路拥塞或质量劣化的时候,往往会造成关键业务体验无法保障。
部署计划
计划在未部署专线的子公司优先使用SDWAN接入,并在三地分别建立SDWAN接入区,以便各子公司接入就近机房。
具体功能介绍
1、负载均衡与管理:原有专线使用移动主、联通辅的方式进行部署,在一条网络阻塞时使用另一条网络通讯。SDWAN接入器拥有自动检测机制,在某一运营商网络无法通讯时将自动切换运营商网络。
2、自主选择最佳路径:WAN广域网技术的关键,其实在于路径选择。对于不同的分公司,SDWAN可以根据现网情况和配置策略,自主选择最佳路径。
3、部署简单,秒速完成:仅需在子公司原有出口安装SDWAN发射器,在数据中心机房安装SDWAN接收器,进行相关配置,即可完成SDWAN网络的建立,就是这么方便和快捷,不再需要专业IT人士到场进行配置安装。
4、自管自控,智能运维:SD-WAN具有SDN的基因,所以在网络的管理上拥有先天的优势。SDWAN管理平台是图形可视化的。管理员可以清楚地通过网管界面看到SD-WAN的运行情况,并及时对出现的问题进行处置。这就大大降低了维护的难度,也减少了故障的处理时间。
5、降低成本:SDWAN技术使用运营商公网,不需要专线加持,在成本上仅需考虑SDWAN控制器的成本与运营商公网,与专线的成本相比微乎其微。
项目概况
互联网是关系国民经济和社会发展的重要基础设施,深刻影响着全国经济格局、利益格局和安全格局。抓住全球网络信息技术加速创新变革、信息基础设施快速演进升级的历史机遇,构建高速率、广普及、全覆盖、智能化的下一代互联网,是加快网络强国建设、加速国家信息化进程、助力经济社会发展、赢得未来国际竞争新优势的必然要求。
下一代互联网是以IPv6(互联网协议第六版本)为核心的全新互联网架构,作为解决当今互联网(IPv4)发展瓶颈的手段,具有地址资源丰富、安全可靠等特点,可有效支撑大数据、云计算、移动互联网等新的信息化应用。通过发展下一代互联网,为经济与社会的长期可持续发展提供创新平台,对实施信息化战略,发展知识经济,优化产业结构,提升区域竞争力都具有重要意义。
根据中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》要求,结合园区实际情况,建设满足未来要求的下一代网络,优化网络模式,实现IPv6升级与互联网管理的一体化统一效果,为智慧园区建设搭建扎实基础。
政策依据
国务院办公厅关于《2018年政务公开工作要点的通知》(国办发〔2018〕23)号),要求推进政府网站部署互联网协议第六版(IPv6),省级政府、国务院部门要在年内完成门户网站相关改造工作,新建的政府网站要全面支持互联网协议第六版。
2017年11月26日,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》,行动计划提出,用5到10年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络。
国务院办公厅电子政务办公室下发的《关于推进国家电子政务外网互联网协议第六版(IPv6)改造工作的通知》文件要求地市级电子政务外网开展IPv6改造工程实施。
国资委发布《关于做好企业互联网应用IPv6升级改造工作的通知》,要求省属国企按照“行动计划”部署要求,完成门户网站和公共服务系统的IPv6升级改造的规划。
大型智慧园区在IPv6改造中的责任与机遇
● 落实国家战略的要求:2017年11月26日,党和国家最高领导机构——中共中央办公厅、国务院办公厅联合印发了《IPv6规模部署行动计划》,代表IPv6已成为国家加快网络强国建设、加速国家信息化进程的重要战略。国企和园区作为支撑经济社会发展的重要机构,承担带头作用责无旁贷。2018年3月12日,国资委印发了《关于做好互联网协议第六版(IPv6)部署应用有关工作的通知》,要求国企在完成门户网站和面向用户的在线服务窗口的IPv6改造。
● 加强技术储备与创新:IPv6是互联网技术产业生态的一次全面升级,有利于网络信息技术高效支撑移动互联网、物联网、云计算等新兴领域快速发展。应在这次升级中提升信息化水平,加强企业数字化转型所需的技术储备与技术创新。
● 提升网络安全:IPv6能够有效提高网络安全管理效率,有助于创新网络安全保障手段,增强网络综合治理能力,进一步完善网络安全保障体系。
● 满足未来业务发展需求:IPv6是全球公认的互联网下一代商业应用解决方案,能够提供充足的网络地址和广阔的创新空间。发展IPv6有利于赢得未来发展主动,满足未来业务向互联网与数字经济转型的需求。
现状分析
现在园区有众多入住企业,一般拥有多个分支和数据中心,分支数据中心通过专线互联;内网方面,各分支公司通过专线接入数据中心,访问内网业务;外网方面,分支子公司和入住企业拥有独立互联网出口提供互联网访问业务。
原有网络和系统均基于IPv4,在IPv6升级方面仍然空白,急需行之有效的解决方案。专线链路与应用系统仅支持IPv4,并不支持IPv6,已无法满足互联网发展与数字经济发展的需要;内部设备数量多,地址设置复杂,无法进行统一管理,且由于IPv4地址数量的限制,难以进行统一地、针对性地管理;后续增加云计算、大数据、物联网等新兴应用或扩展现有或联网服务应用,将受到IPv4地址的限制,越来越多的IPv6终端用户无法或访问相关系统或业务。随着IPv4网络规模的萎缩与IPv6网络的逐渐兴起,这一现象将日趋明显。
中共中央办公厅、国务院办公厅于2017年11月26日印发的《推进互联网协议第六版(IPv6)规模部署行动计划》(厅字【2017】47号文)中明确的“政府和国有企业外网网站系统应全面支持IPv6”的要求不符。随着IPv6演进时间窗口的不断收缩,IPv6演进的压力将越来越大。
入住企业、子公司和分支机构众多,目前各个单位互联网出口各自管理,缺乏统一的出口管理体系,也还没有进行统一的出口身份认证、审计体系。作为IPv4向IPv6迁移阶段不可或缺的IP地址管理凸显出来,128位的IPv6难于记忆,地址分配、维护、管理也是一个难题。对照国家政策要求,企业网络深度改造、应用提升的空间巨大。
对内对外应用众多,不同业务系统独立身份认证,缺乏统一的业务系统身份认证体系以及访问认证统一审计。这样一方面存在安全隐患,从长期看也增加了开发难度、工作量和成本,好造成管理复杂。
以互联网IPv6升级为起点,建议借助IPv6规模部署的契机,推进办公网、生产网与互联网的整合优化,重构企业网络架构,实现统一智能运维、安全集中管控,资产全生命周期管理、打通网络孤岛等。更进一步,推进下一代互联网相关技术与企业生产、经营业务的融合创新,促进企业数字化转型升级。
主要现状为:
1、目前各子公司的信息化程度不同,信息化规范不统一,在各子公司单独使用网络出口,网络管理较困难,网络安全问题大范围存在;
2、内部使用v4地址,各自使用私有地址进行网络互联,存在地址混乱、难以溯源等问题;
3,网站与部分对外应用依旧使用v4地址,需要优先转换成v6地址,完成国家战略目标;
4、部分子公司设备老旧,存在IPv4孤岛,需要建立IPv4与IPv6的交换平台,避免IPv4孤岛存在;
5、使用多条运营商线路,需要对线路进行优化与负载均衡,保证网络通路流畅;
6、需要规划DNS的解析调度,建立自己的DNS权威解析服务和DNS加速服务,提高业务间访问的灵活度和速度。
7、需要建立统一的互联网和局域网接入身份认证体系,访客接入局域网和互联网需要身份认证。
8、应用缺乏统一SSO认证,每套系统独立一台认证身份,增加了管理难度和业务使用复杂度。
9、数字资产探测与管理:没有有效手段发现识别网络中各个地址段在线终端数量和在线终端移动的过程,更没有历史趋势的统计分析。需要自动扫描数字资产并登记汇总,由系统进行统一维护管理。
10、应用质量和持续性监测:目前系统中跑着各种各样的应用,应用本身也是一种数字资产,应用业务监测模块部署并通过独立的业务质量监测系统业务的稳定度、可用度和质量。
11、考虑到互联网统一出口以后,要建立SDWAN平台,为各个分支建立加密传输数据通道。
解决思路
(一)实现网站和业务系统的IPv6升级改造以及互联网出口的IPv6升级改造;
(二)建立互联网统一出口,部署统一出口集群网关,实现全部出口支持双栈转发,集中管理。为入住企业和分支机构提供统一互联网运营。
(三)实现统一的网络地址分配于管理,自建DNS权威解析和缓存加速。
(四)部署统一的身份认证平台,实现局域网和互联网身份统一认证。
(五)部署应用统一认证系统,实现应用的sso身份认证和认证审计。
(六)部署资产探测和运维系统,实现设备与资产可视化管理,实现链路、应用、互联网出口质量全监测。
(七)部署云网互联平台,实现部分机构自建专线,以达到安全、快速部署、多运营商容冗余。
建设目标
(一)管理统一
本方案使用了主控设备进行一体化管理,同时在另外两地建立备控,采用热备方式进行无间断的配置备份。将相关系统数据接入主控平台,由主控平台进行统一管理。
通过主备平台统一管理,可以有效解决包括访问控制、地址管理、流量管理、流量监控、数据分析等一系列问题。
(二)身份统一
通过统一的身份认证平台对内网用户进行认证,对通过认证的用户或设备允许入网链接,对未知设备或未经许可的用户进行禁止入网操作。
通过统一的应用SSO系统,实现所有应用统一身份管理、认证、审计。从而降低应用开发成本、提高安全性以及操作便利。
(三)地址统一
本方案提供了融合型DHCP、可视化IP地址管理、交换机端口管理等功能。提供统一的管理界面,简化静态和动态IP地址的运维管理。
自动化IP地址管理设备部署后,将抛弃传统的手工设置固定IP地址的方式,全部采用自动获取地址,同时支持IP/mac的绑定推送。实现IP地址的有效分配、绑定、追踪、回收、审计,简化故障IP地址的诊断、定位和排除。
如果结合AX模式,可以IP网络到ID网络的转换,网络地址、权限、VLAN随本人的账户移动,实现在任何位置该账户地址、VLAN不变。
系统提供基于证书、用户密码、MAC、Ukey等不同类型的准入认证。
(四)链路统一
通过本方案改造,建立“多中心”的集团统一模式后,各子公司链路都接入到就近机房进行统一管理,子公司通过专线或SDWAN技术与中心机房互联,进行统一流量规划与控制。
(五)安全统一
通过对原有设备的替换与利旧,采用统一管控,统一防护的安全模式制定统一的安全防护策略,去除各子公司的对外互联网出口,统一管理,大大减小各部门或各子公司的安全风险。
建立下一代互联网统一出口
● 取消各子公司、分园区互联网出口,统一出口管理;规划设置多个出口网络;网络中心专线互联,各分子公司重新规划就近接入规则;
● 针对网络接入状况,重新规划地址分配、路由策略,安全策略,确保内网业务和互联网业务正常访问,且实现安全隔离;IPv4、IPv6并行,在对原有网络完全无影响的情况下先从IPv6开始建设,最终双栈并行。
● 分子公司专线接入及网络中心专线互联根据实际情况规划带宽性能分配;针对主要业务合理分配流量优先级,保证服务质量;使用多条运营商线路,需要对线路进行优化与负载均衡,保证网络通路流畅。
● 规划DNS解析调度策略,实现多分子机构、多网络中心、多数据中心之间的业务访问的灵活调度。
● 建立统一的互联网和局域网接入身份认证体系,访客接入局域网和互联网需要身份认证。
● 应用缺乏统一SSO认证,每套系统独立一台认证身份,增加了管理难度和业务使用复杂度。
● 建立数字资产探测与管理平台,自动扫描数字资产并登记汇总,由系统进行统一维护管理。应用业务监测模块部署并通过独立的业务质量监测系统业务的稳定度、可用度和质量。
● 建立SDWAN平台,为各个分支建立加密传输数据通道。
● 全部系统包括互联网出口区、管理区、协议交换区、无线接入区、SDWAN专线接入区、数字资产监测平台等组成。
出口IPv6安全接入区
本次方案计划建立IPv6统一互联网出口,统一进行网络出口管理,这样既可以方便管理,又可以减少各单位互联网链路投资,并有效减少遭受攻击的风险,防止网络资产损失。
1.1部署计划
在每一个数据中心最外侧新增出口IPv6接入区,新增一体化接入网关以集群及IPv6接入设备,对本地数据中心出口进行统一管理。各子公司线路优化,择优、择近接入数据中心,实现统一出口。将一体化防火墙网关作为IPv6线路的网络出口,原有IPv4网络出口不变,让IPv4与IPv6两条线路同时存在,并按时间与计划逐步向IPv6转移,最终实现IPv6单栈化。根据接入运营商链路的数量,配置相应的负载均衡规则,使出口流量更加合理。
同时在出口部署各种安全设备组合,确保出口安全可靠。
1.2具体功能部署
完成基础配置后,可开启以下功能:
1、权限管理:根据企业组织架构的分工,对不同公司、不同部门进行权限划分。由于公司职能各有千秋,或有些资料不方便进行传播,此时开启权限管理即可对不同公司或部门进行网络隔离,防止资料在内网间进行不必要的传播,这样防止了越权访问,同时也保护了重要信息的安全性。
2、上网管理:由于员工多,层级多,可能会出现一些影响工作效率的活动发生。在一些关键部门,还带来了不少的安全隐患。因此开启上网管理功能,根据内置的规则,监测用户访问的网站与应用,屏蔽一些与工作无关的应用活动,提高员工工作效率。
3、负载均衡、链路优化:多出口保证了出口的稳定和冗余,通过不同的策略可以做到不同业务、人员、区域走不同的出口。支持按照运营商、人员、服务等的负载均衡。为了使多中心均支持IPv6,开启IPv4/IPv6双栈模式,同时为IPv6提供安全防护能力,需要一体化出口网关进行出口管理。一体化防火墙出口网关是一种灵活软件刀片构架,集成硬件设备,形成一种综合、即用的安全网关解决方案。集成安全刀片,管理刀片,网络基础刀片等多种功能一体化的系统,全面满足下一代企业级有线无线一体组网需求,可持续、简单、高效地提供下一代网络组网、安全、管理需要。
一体化防火墙出口网关提供完整网络身份认证、上网权限管理、网络行为审计、网络使用分析、流量管理、网关接入、攻击检测、漏洞扫描、边缘威胁防护等功能。
IPv6配置管理区
在接入了IPv6以后,由于IPv6地址的长度与数量原因,原有的IPv4管理方式难以继续管理IPv6地址,需要增加DDAI统一接入管理平台进行统一管理。将DDAI统一接入管理平台接入IPv6管理区,替代原有DNS服务器与DHCP服务器,同时承载IP自动分发功能,使终端用户能够体验无感升级IPv6的感受。
1)管理区部署集群网关系统和网络转换平台的主控、备控系统。通过在主控上集中配置,集中管理网关平台和网络转换翻译平台。
2)管理区部署统一身份管理认证平台。实现局域网、互联网上网统一身份认证、权限统一规划管理。部署业务统一认证平台,实现所有业务的统一认证管理。
3)管理区同时部署基础核心服务和资产运维平台,实现设备与资产可视化管理,实现链路、应用、互联网出口质量全监测。
4)未来预留部署云网互联平台,实现部分机构自建专线,以达到安全、快速部署、多运营商容冗余。
1.1部署计划
替换原有DNS服务器与DHCP服务器,在原位置放置DDAI统一接入管理平台作为IP
v6管理区。主备模式部署统一身份管理认证平台和全域感知和资产运维平台。
实现以下几个功能:
1、接管原有DNS服务器与DHCP服务器,继续乘载原有工作;
2、为终端提供IPv6地址的管理;
3、开启VX和AX模式,提供内网地址分配与准入。
4、为互联网上网用户提供身份认证服务,可以在网关上启动身份认证功能,这样用户需要输入用户名、密码后才能接入互联网。
5、实现设备与资产可视化管理,实现链路、应用、互联网出口质量全监测。
由于IPv6线路接入,IPv6地址数据海量增加,传统的手段很难记忆地址和管理地址,故采用本DDAI统一接入管理平台进行IP地址的管理与设备的管理。DDAI产品融合DNS,DHCP,IPAM三项企业核心网络服务功能,在实现DNS、DHCP和IP地址管理等多种网络基础服务的统一管理基础上,通过可视化运维管理手段,提升IT网络运维效率,降低网络运维难度,提供“简化的IT体验”和“安全的IT管理”。主要功能包括:
1、IP地址管理功能
DDAI统一接入管理平台可以进行IP/MAC地址的分配和自动化开通,实现集中式、有效的IP地址管理审计,同时支持IPv4/IPv6地址协议。通过IP开通自动化来控制操作成本;提供实时、准确的交换机端口和IP/MAC的对应信息,协助IT维护人员对故障IP地址进行快速定位;实时跟踪IP/MAC地址的变更,及时对废弃的IP地址进行回收和再利用,优化网络资源的使用率。
自动化的IP地址管理设备部署完毕后,网内终端设备将摒弃传统的手工设置固定IP地址的方式,全部采用自动获取IP地址的方式;可让管理员有效管理子网和地址池,并能实现IP地址的有效分配、追踪、回收、审计以达到对网络可视性管理的目的。
2、数字资产监测运维功能
平台提供数字资产登记汇总功能,需要网络设备管理人员将原来维护的IP地址、MAC、位置信息、负责人、部门等信息整理成DDI设备可以识别的格式,并核对无误后导入整理好的信息,由系统进行统一维护管理。
DHCP分配地址后,系统支持通过SNMP主动扫描、ARP、NS协议被动侦听分析等方式扫描网络全部数字资产,结合DHCP搜集内网终端,建立了一个终端的全部信息管理,包括IP、MAC、计算机名、交换机位置、端口、VLAN等多元素信息,可以对MAC地址进行实名制信息登记,通过MAC地址确定使用人,设备出现问题可以通过IP对设备进行快速定位。
自动发现的过程中可以搜索到网络设备并识别设备类型和厂商型号,生成设备的面板图。搜索设备资源,如端口、CPU、内存、磁盘等,发现设备之间的链路关系。
自动生成系统拓扑图,支持通过图形化的方式,将网络拓扑关系展示出来,在拓扑中以不同颜色设备图标实时展现设备的实时状态信息。
3、IP地址绑定和网络准入
在DDAI的VX地址分配模式下,只有系统注册登记过的终端才能分配地址。系统终端资产列表种不存在的终端可以分配临时游客地址供终端登记,管理员审核后再分配正式地址。DDAI的VX模式同交换机DHCP Snooping+DAI功能进行联动实现准入功能,对私接路由和手动更改IP地址用户,进行阻断并审计跟踪到责任人。在交换上开启DHCP Snooping +DAI功能后,交换机会生成包含设备IP/MAC对应信息的Snooping Binding表,在上网设备进行数据通信时,交换机会在端口检测上网设备数据包的IP/MAC与SNOOPING binding表中的IP-MAC对应关系是否一致,当终端设备更IP、MAC或更换端口后交换机将发出告警通知,同时对手工设置变更IP、MAC的设备再端口进行阻断。Snooping功能生成Snooping Binding表的同时,会拒绝非信任端口下DHCP Server的数据包,将有效的切断伪DHCP服务器的连接,DAI功能禁止用户私自手工设置IP地址,保证管理员的IP数据的准确性。
4、IP地址分配审计功能
DDAI设备会详细记录每个MAC地址使用不同IP地址的时间段,可以根据事件关联的 IP地址及其发生的时段,反推出该IP地址在那个相应时段所对应的MAC地址。MAC地址的审计详细记录每一MAC地址在不同时间段的网络接入点,即每一 MAC地址在不同时段接入的交换设备端口。这样就可以根据IP地址关联的MAC地址结合时间段,反推出该MAC地址的接入交换机端口,即定位到事件关联 IP的物理终端上。
5、双栈主机配置协议(DHCPv4/V6)
在IP网络中,每个连接Internet的设备都需要分配唯一的IP地址。DHCPv4使网络管理员能从中心结点监控和分配IP地址。当某台计算机移到网络中的其它位置时,能自动收到新的IP地址。
向 IPv6主机提供有状态的地址配置或无状态的配置设置。IPv6主机可以使用多种方法来配置地址:无状态地址自动配置,用于对链接本地地址和其他非链接本地地址两者进行配置,方法是与相邻路由器交换路由器请求和路由器公告消息。有状态地址自动配置,通过使用DHCPv6的配置协议,用来配置非链接本地地址。
6、IP地址实名绑定推送
管理员出于管理性规范性考虑,在开启DHCP的情况下不允许设备IP地址随意变动,必须IP-MAC一一对应,可以使用IP地址绑定推送功能,系统通过识别设备MAC地址,固定下发与MAC相对应的的IP地址,同时对IP进行实名制信息备注,提高IP地址管理的准确性和规范性。绑定推送功能在效果上与使用静态IP地址相同,同时在变更地址、更换上网设备、更换办公地址等情况下,减少了网络管理员手工输入配置IP地址的工作量。
7、权威DNS解析和DNS缓存加速
企业不断扩大的网络访问规模和严峻DNS安全形势下,公共或运营商DNS已经无法满足企业可视化管理、高可用、安全、灵活调度等诸多要求。
DDAI通过DNS缓存,递归、授权,提供更加全面,可用,安全的企业DNS解决方案。
1.丰富的服务策略,提供域名解析IP过滤或优先选择、域名强制解析、域名封堵、错误域名重定向等策略功能;
2.可视化的管理监控,对整个DNS系统管理监控,威胁告警;
3.DNS集群的多主DNS方案,保障提供7*24小时无间断服务。
IPv6协议交换/应用发布区
构建新的IPv6承载网络,转换IPv4原站,故采用IPv6网络转换平台以实现集团网络的IPv6升级改造。IPv6网络平台系统,采用网络层协议转换和应用层协议转换相融合的翻译技术,在不修改网站代码和不改变原有网络结构的基础上,实现对文件、图片、视频等内容的缓存,用户再次访问相同域名时可快速从 IPv6网络转换平台系统返回。采用灵活部署的方式,同时能有效解决网站由于引用外部IPv4资源导致的翻译失败问题,确保IPv6用户的访问体验不低于IPv4用户,快速批量业务系统升级,提供IPv6访问服务。
1.1主要功能
1、IPv4/IPv6翻译功能
融合应用层和网络层协议转换,支持 IPv4/IPv6 双向翻译,应用层转换处理 HTTP ALG、FTP ALG 和 NAT64 等服务,网络层转换处理流媒体等服务。
2、集群部署功能
由多台IPv6转换平台组成集群统一对外服务,当任意一台设备出现故障,其业务能自动切换至其它设备。/IPv6双栈模式,同时为IPv6提供安全防护能力,需要一体化出口网关进行出口管理。一体化防火墙出口网关是一种灵活软件刀片构架,集成硬件设备,形成一种综合、即用的安全网关解决方案。集成安全刀片,管理刀片,网络基础刀片等多种功能一体化的系统,全面满足下一代企业级有线无线一体组网需求,可持续、简单、高效地提供下一代网络组网、安全、管理需要。
3、负载均衡功能
支持多个虚 IPv4/IPv6 地址,支持自组织的集群模式,无需部署独立负载均衡设备,所有设备对等,支持虚 IP 地址的自动故障切换。
4.内容缓存加速功能
支持高并发流量缓冲功能,支持 JPEG、GIF、MP3、MP4、WMA、ZIP、RAR、FLV、LETV、F4V、EXE、ISO、APK 等资源的缓存。
5.智能域名解析功能
根据用户网络连通性进行智能的优质链路选择功能,并可实现 IPv4(A)记录和 IPv6(AAAA)记录的转换和翻译,支持多种记录格式的解析和泛解析,包括 A 记录、CNAME 记录、NS 记录、AAAA 记录、MX 记录和 PTR记录等。
6.IP 地址分配
支持基于动态地址分配协议 DHCP 和 DHCPv6 的功能;支持自动分配 IPv4地址和 IPv6 地址。
7.网站 IPv6 检测功能
支持网站所有页面和业务(含外链)IPv6 访问占比率统计和分析,对翻译效果进行自查和整改,同时可对坏连和死链进行处理,提升网站访问质量。
8.设备管理功能
支持平台系统信息,如内存、CPU 利用率、网络带宽、服务软件状态等内容进行实时监控,可以及时发现问题并及时处理。
9.IPv6 用户溯源功能
包括网络转换日志、应用转换日志、网站数据分析、客户端 IP 统计、页面统计、域名统计,可用于进行 IPv6 用户的访问信息溯源。
身份统一认证/计费
考虑内部信息化程度参差不齐,接入认证机制差,用户需要记录多个系统的密码,操作繁琐。各个系统之间账号不统一,形成信息孤岛,导致维护成本增加。针对员工应用的各种系统,不能有效的进行用户账户信息统计,导致员工在离退休时不能及时的清除这部分账户,为公司以后的工作带来隐患。外来访客未做良好的管控,极易遭受到网络的攻击,降低了网络安全性,提升了维护成本。本次方案计划将各出口集中统一到就近的数据中心,统一进行网络出口管理,通过统一的认证服务、授权服务、集中管理用户信息、集中审计有效的解决以上问题。
认证平台内置Radius、LDAP和web认证服务,内置CA中心,可以生成证书及管理证书。支持账号的添加、修改和配置。可以配套支持8021x客户端认证以及网关上网认证。
部署业务统一认证平台实现所有业务系统的统一身份管理和一次认证。在统一业务认证平台认证后即可实现所有业务系统认证,实现所有业务系统一套账户、密码。
1.1部署计划
在管理区部署认证平台,对本地数据中心出口用户进行统一身份统一认证管理。支持对用户密码认证、短信认证、微信认证、一键认证等多种形式,即支持内部账户、也支持外部ldap账户。统一集中管理公司的所有员工,为所有员工账户设置生效起始结束日期,及时不对用户做任何操作,在权限生效期外的用户也无法通过认证保证了系统的安全性。为用户提供一键登录功能,实现用户的一键便捷登录。
1.2具体功能部署
1、身份认证管理:由于员工及外来人员过多,层次不一,可能会出现一些权限越级的发生。在一些关键部门,还带来了不少的安全隐患。因此身份认证管理功能,根据账户属性设置不同权限,提高公司网络的安全性。
2、权限管理:根据企业组织架构的分工,对不同公司、不同部门进行权限划分。由于公司职能各有千秋,或有些资料不方便进行传播,此时开启权限管理即可对不同公司或部门进行网络隔离,防止资料在内网间进行不必要的传播,这样防止了越权访问,同时也报货了重要的信息安全。
3、上网管理:由于国信集团员工多,层次不一,可能会出现一些影响工作效率的活动发生。在一些关键部门,还带来了不少的安全隐患。因此开启上网管理功能,根据内置的规则,监测用户访问的网站与应用,屏蔽一些与工作无关的应用活动,提高员工工作效率。
4、审计服务:为确保信息访问的安全性,系统提供了对用户认证访问过程中所有的操作进行全程监控的功能,一旦出现什么问题,可以及时的溯源。
1.3业务统一身份SSO
通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。这种方式减少了由登录产生的时间消耗,辅助了用户管理。
基础资源和数字资产监测
考虑当下面临着资产数量庞大、分布广、型号多、变动频繁的难题,想要管理起来费时又费力,效率极其低下,资产的位置和状态更无法实时获知。如何将国信集团资产进行可视化实时管理,有必要研究运用一套先进的智能物联管控系统来提升资产管理的效率。
网络链路质量监测感知,系统部署模式采用平台加探针,支持主动监测与被动监测。通过将链路当资产进行管理,有效掌握链路情况,包括数量、带宽、维护人等。同时链路资产实时关联链路质量监测数据,通过在接入节点部署监测探针,探针间执行互通测试,具备多链路智能检测功能,可实现网络真实带宽测试、链路质量测试等。可掌握各网络结点的连通质量、稳定性及互通性等内容,提高网络的健壮性与稳定性。
应用本身也是一种数字资产,应用业务监测模块部署并通过独立的业务质量监测系统考核业务的稳定度、可用度和质量。
业务登记汇总:对整个业务应用全面登记汇总,明确业务负责人和业务运行环境。
业务质量监测:通过主动模拟业务访问,监测业务服务稳定度、持续度和质量。
业务网络监测分析:通过端口镜像方式得到业务的流量,部署网络探针主动分析业务访问流量数据,包括访问流量、人数、业务分类、高峰时段等。
(通过监测分析网站、业务,实时分析业务访问质量、业务通断情况)
1.1部署计划
数字资产监测管理平台提供数字资产登记汇总功能,需要网络设备管理人员将原来维护的IP地址、MAC、位置信息、负责人、部门等信息整理成DDI设备可以识别的格式,并核对无误后导入整理好的信息,由系统进行统一维护管理。
系统支持通过SNMP主动扫描、ARP、NS协议被动侦听分析等方式扫描网络全部数字资产,结合DHCP搜集内网终端,建立了一个终端的全部信息管理,包括IP、MAC、计算机名、交换机位置、端口、VLAN等多元素信息,可以对MAC地址进行实名制信息登记,通过MAC地址确定使用人,设备出现问题可以通过IP对设备进行快速定位。
分支专线接入区:SDWAN接入区
专线接入要求原有专线职能不变,同时新增IPv6传输职能。由于部分子公司原有公网出口需要提供部分互联网服务,根据需要,拟租用运营商裸光纤传输,为子公司提供足够的出口带宽,保证原有互联网服务的正常运行。同时也对互联网进行有效的安全的管理。
SDWAN接入区方案:
SDWAN技术即软件定义广域网,是为了解决MPLS专线成本高、维护困难而出现的新兴WAN广域网技术。SDWAN在搭建在运营商公网的基础上,整个网络架构还是基于Internet和MPLS专线,但是在架构上会存在一个SDWAN控制器,通过软件定义产生一条专线。
SDWAN相比于专线有着成本低、负载均衡、便于维护等优势,同时也方便中心数据机房对各子公司进行流量分配与控制、流量监控等优点。由于出口统一的缘故,原有专线肯定无法满足各子公司的日常办公需求,各子公司专线带宽需要扩容,这在成本上将是一大笔预算。而SDWAN技术使用运营商公网,不需要专线加持,在成本上仅需考虑SDWAN控制器的成本与运营商公网,与专线的成本相比微乎其微。
传统专线是基于运营商MPLS链路或L2TP模式,MPLS VPN本身并不具备数据加密功能。也不支持数字证书认证,关键核心数据跑在基于专线的VPN上存在极大隐患。
传统的专线新业务发放速度慢,需要经历营业厅申请、业务调试、现场配置等多个环节。从业务申请到开通往往需要长达 数周的时间。云化趋势下, 企业业务更新发展迅速,当前网络难以满足快速上线要求。传统网络技术僵化,难以满足业务敏捷性的需求,尤其是随着企业云化需要的增长,WAN难以满足发展需求。
传统网络对业务不感知,无法获知应用的状态,当遭遇突发流量链路拥塞或质量劣化的时候,往往会造成关键业务体验无法保障。
1.1部署计划
计划在未部署专线的子公司优先使用SDWAN接入,并建立SDWAN接入区,以便各子公司接入就近机房。工作方案整体上采用SD-WAN体系,并综合考虑多种因素,将下属单位分散的互联网出口归并为 “集中出入口”,形成“一个整体,两个层次,归口管理、分工责任”的信息化管理格局。其中:
各接入单位利用原有链路,在网络出口部署SD-WAN网关,实现与集中出入口互通,基于统一管理平台实现“一键部署、集中管理”。
各集中出入口单位部署中心级SD-WAN网关,实现对分支企业的网络接入、数据互通;通过部署完善的安全防护设施,为整体出网链路提供安全、优化、合规能力。
通过部署统一管理平台,对SD-WAN及其它相关基础设施实时监测、集中管理,构建统一合规、集中监管、边界收敛,能力整合体系。
在SD-WAN标准架构基础上,结合自主IP协议栈底层扩展能力和SDN技术产品储备,整体完善收口体系:
CPE采用多功能一体化配置,并支持多设备集群和多链路负载。整合隧道通信(同时支持NAT/路由/二层三种隧道)、行为管理、流量管理、边缘加速(DNS/web缓存)、在线部署和实时数据上报等功能;并通过与集中出入口IPv6核心服务、集中管理平台联动,提供IPv6全功能支持。
集中出入口设备在现有方案基础上适当调整,将流量管理、上网行为管理与SD-WAN整合,同时增设包括多级IP地址规划、IP地址自动分配、优化DNS服务、IPv6主动防护,以及IPv6应用监测等IPv6核心网络服务。
集中管理平台在满足现有方案需求的基础上,全面纳管IPv6、安全体系及SDN-WAN服务和设施,并重点强化:
集中配置,包括配置(CPE/行为管理、地址分配、流量策略、转发策略、缓存策略等);
集中数据采集, 包括运行数据、审计数据等;
集中感知分析: 包括但不限于流量、链路、应用、人员/IP,业务质量、CPE等。
SD-WAN平台隧道建立采用专有优化传输协议实现封包传输优化,通过缓存加速、应用限速等模式来优化应用访问效果,通过建立同一ISP隧道方式以及多隧道、多出口负载绑定方式来优化网络访问,达到更好线路质量。
1.2具体功能介绍
1、负载均衡与管理
原有专线使用移动主、联通辅的方式进行部署,在一条网络阻塞时使用另一条网络通讯。SDWAN接入器拥有自动检测机制,在某一运营商网络无法通讯时将自动切换运营商网络。
2、自主选择最佳路径
WAN广域网技术的关键,其实在于路径选择。对于不同的分公司,SDWAN可以根据现网情况和配置策略,自主选择最佳路径。
3、部署简单,秒速完成
仅需在子公司原有出口安装SDWAN发射器,在数据中心机房安装SDWAN接收器,进行相关配置,即可完成SDWAN网络的建立,就是这么方便和快捷,不再需要专业IT人士到场进行配置安装。
4、自管自控,智能运维
SD-WAN具有SDN的基因,所以在网络的管理上拥有先天的优势。SDWAN管理平台是图形可视化的。管理员可以清楚地通过网管界面看到SD-WAN的运行情况,并及时对出现的问题进行处置。这就大大降低了维护的难度,也减少了故障的处理时间。
5、降低成本
SDWAN技术使用运营商公网,不需要专线加持,在成本上仅需考虑SDWAN控制器的成本与运营商公网,与专线的成本相比微乎其微。
无线接入区:千兆智慧WIFI
由于园区公共场所无线WIFI今后整体上网的流量比较大,上网用户多,因此根据无线园区设计原则,建议针对园区自身情况选择。大型现代化智慧园区,包括办公区、商业区、活动区、生产区、宿舍区等等不同功能区域,它实际也是无线城市、智慧城市的重要组成部分。因此我们推出“AC服务平台(瘦集中管理平台)+瘦无线AP+强业务平台”的分布式加集中式管理相结合的平台方案。
考虑网络冗余架构的设计理念,实现设备间故障的平滑迁移,确保网络系统的持续稳定、可靠运行,在管理中心平台我们采用管理中心、数据中心、查询中心分离的组建模式,每个中心各自组成一个服务器集群,可根据流量的增长不断的堆叠。
1.1设计方案特点
● 高性能:系统可支持数万AP管理、百万人员并发在线、上千万账户认证管理能力;
● 低成本:集中式加分布式的组合架构以较低的成本实现了很强的冗余性、稳定性和可靠性;
● 全功能:瘦集中平台可以实现账户的统一认证、所有设备的集中配置和状态管理;不同型号的胖网关设备可以支持从百兆到千兆乃至万兆的网络,对网络的故障点的范围大大缩小;强业务系统直接与分布式安装的胖网关设备通信,降低瓶颈。
● 重安全:在数据加密和安全防护部分具备很高的安全性,同时又能满足国家对上网场所的监管要求。
1.2无线覆盖设计
需要根据园区实际环境与需求,提出无线覆盖设计方案。
主要覆盖园区办公区、生产区、活动区、商业区、宿舍区等各场景中,笔记本、台式计算机、智能手机、平板电脑等多种类型WIFI无线终端,802.11a、802.11b、802.11g、802.11n、802.11AC等多种标准的终端均可便捷接入,满足用户接入覆盖需求。
● 办公楼区域
重点覆盖区,满足100%用户并发,同时接入上网,并发接入速率不低于3Mbps;
双频覆盖,2.4GHz和5GHz边缘场强均大于-60dBm。
● 商业区域
重点覆盖区,满足100%并发上网,同时接入速率不低于3M;
双频覆盖,2.4GHz和5GHz边缘场强均大于-60dBm;
● 公共活动区
重点覆盖区,满足100%并发上网,同时接入速不低于2Mbps;
双频覆盖,2.4GHz和5GHz边缘场强均大于-75dBm;
● 生产区
一般覆盖区,满足100%并发上网,同时接入速不低于2Mbps;
双频覆盖,2.4GHz和5GHz边缘场强均大于-75dBm;
● 宿舍区
一般覆盖区,满足80%并发上网,同时接入速不低于2Mbps;
双频覆盖,2.4GHz和5GHz边缘场强均大于-75dBm;
1.2无线网络功能设计
(1)多SSID设计
将园区的无线办公、无线应用与外来人员上网用不同SSID和VLAN隔离。一网多用,保障安全。
(2)协议栈加速
针对无线网络的丢包、延迟特性,开启特有的协议栈加速技术,通过改变无线网络的传输机制来提高网络传输速度。通过实际测试,开启特有的协议栈加速技术后网络速度至少能提高2倍以上。
(3)终端识别与流量控制
当前接入终端多种多样,MagicFlow®无线系列产品自动识别终端类型,根据终端类型设置相应的流量控制策略。大部分用户习惯于使用手机和pad上网冲浪。对于手机和pad终端,我们对其进行带宽保障,从而保障用户通过手机和pad的上网体验。
(4)应用识别和流量控制
针对外来人员流量复杂难以管控的情况,MagicFlow有线无线一体化防火墙网关内置最全面的应用识别库和URL库,能自动识别无线流量类型,根据终端类型设置相应的流量控制策略。对于高耗流量的视频、风行、迅雷、电驴等P2P下载,我们可以进行带宽限制,防止此类应用对于带宽的过分抢占,从而保障用户正常的上网体验。
(5)针对高密环境的网络优化
●广播优化:针对广播包发送机制优化,减少广播报浪费过多资源。
● ARP转单播:通过对ARP发送机制的优化提升ARP效率。
● 禁止DHCP包发往无线终端功能:通过对DHCP发送机制的优化提升DHCP效率。
● 自动广播提速:将广播包原有的发送速度提高,加快广播包的传输效率。
● 接入终端速度限制:支持接入终端速度限制,禁止低于一定速度的终端接入,提升整体网络速度。
● 平均带宽分配:支持用户平均分配带宽,根据时间公平算法,防止单个终端拉低网络整体速度。
(6)智能负载均衡
对于一些无线用户密集的区域,结合AC无线控制器,可智能实时的根据用户数和流量调整分配到不同的接入点,平衡负载压力,极大的提高无线网络的容量和连接可用性。同时2.4G和5G之间可实现自动负载,提升无线接入质量。
(7)快速L2/L3漫游
用户在不同子网间漫游时,传统AP方案无法有效保证跨三层的漫游。无线解决方案满足优秀的L3漫游特性,用户漫游不受子网限制,保证用户在不同区域间移动而业务不中断。
(8)干扰自动检测,射频自动优化,故障自动业务切换,安全自动防护
BCTech公司无线系统,可以自动识别终端接入类型,自动检测干扰和故障环境,进行射频功率、信道等参数的自动调整,自动检测非法钓鱼AP,自动识别攻击并进行防护。
● AP间负载均衡,用户数量均衡化接入,保障用户的接入;
● 产品自动检测干扰与故障,自动调整产品功率和信道,保障信号覆盖范围;
● 自动检测非法钓鱼AP,自动进行WIPS防护,保障访客和企业办公人员的信息安全;
背景情况
(一)国内网络安全形式日益严峻
我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展,网络安全风险融合叠加并快速演变。互联网技术应用不断模糊物理世界和虚拟世界界限,对整个经济社会发展的融合、渗透、驱动作用日益明显,带来的风险挑战也不断增大,网络空间威胁和风险日益增多。
(二)出口暴露面大是攻防演习中的重大问题之一
通过近几年越来越贴近实战的对抗演练,各行业暴露出最大的安全问题之一就是出口分散,风险暴露面大,分支企业大量资产端口、业务漏洞暴露在互联网之上,难以实现访问可控、发布可管、事件可定位、事后可追溯,因此各重点行业均开展了互联网出口收敛工作,完善互联网访问、对外应用发布架构,减少风险暴露,增强互联网访问安全性。
(三)国资委对于中央企业网络信息安全监管提出要求
信息化是改进国资监管方式、提高监管履职能力、防止国有资产流失的重要手段。党的十八大以来,党中央、国务院作出实施网络强国战略、大数据战略、“互联网+”行动等一系列重大决策,开启了信息化发展新征程,也为国资监管“赋能”。
(四)两办对IPv6部署提出要求
为落实“两办”《推进互联网协议第六版(IPv6)规模部署行动计划》,国资委印发《关于做好互联网协议第六版(IPv6)部署应用有关工作的通知》等文件,对大型企业IPv6部署提出了明确部署要求,旨在加快推进企业网络基础设施和应用基础设施升级,引领国内下一代互联网与经济社会各领域的融合创新。
当前全球IPv6部署从“双栈”兼容向IPv6“单栈”应用迅速转向,国内亦在加快制定政策并纳入“十四五”规划,对以央企为代表的国家队提出先行先试、创新示范要求。
为此,我们建议本次互联网出口收敛与IPv6部署工作统筹规划、协同实施,在实现本期互联网收口、优化资源配置及完善安全体系的基础上,为集团公司下一代互联网战略实施奠定基础。
现状
(一)国内网络安全形式日益严峻
截止目前,集团公司所属各级单位下属分支机构均为自行租用运营商网络访问互联网。由于每个单位的建设时期、技术路线各不相同,导致信息化程度参差不齐,水平不尽相同,造成管理上各自为政、难以统一。
(二)出口暴露面大是攻防演习中的重大问题之一
为了解决网络管理和安全上的问题,提高保障能力,落实大型央企网络信息安全规范要求,归并互联网接口、实现统一管理迫在眉睫。
1.满足合规监管要求:面对不同历史阶段的建设情况,以及各分支结构自行管理的差异性问题,统一安全合规的监管标准很难在不同地域、不同业务的各类分支机构中做到全面落地,因此需要统一整合的网络平台来实现建设标准化、管理统一化。
2.提升安全防护能力:各分支单位独立与互联网相连,大大增加被攻击面,分支单位作为整体安全域的一个重要环节,无论哪个节点出现问题,都可能导致黑客将其作为跳板进入整个公司的网络进行数据窃取和破坏,影响公司的正常运行并造成严重损失。离散存在的公网暴露面也造成在攻击事件发生时,“有限”的安全防护力量难以集中,只能充当“救火队员”,甚至于出现“远水解不了近渴”。
3.提高运营管理水平:
各自为战的情况下只能通过管理员逐一排查设备与日志并进行手工的配置处理,很难有效地对紧急事件进行合理及时的处置。
这种情况下,需要一种高效智能的手段,使管理员从过去“描点划线”的重复工作中解脱出来,将更多精力投入到提升支撑能力、处理严重风险等方面。
4.减少网络安全建设重复投入
为符合网络合规要求,集团各分支单位在各自独立的互联网出口部署一系列安全产品,来完善自身网络安全能力,但由于互联网出口相互不共享,安全建设重复投入,网络安全水平参差不齐,难以形成全局性、集成性、有效益的信息系统安全体系。
5满足技术趋势和IPv6下一代网络:
下一代网络是以IPv6为核心的全新互联网架构,建设部署基于IPv6的统一云安全接入平台已经信息化发展的必然趋势。采用安全服务及接入边缘的融合架构,架构平台包含多个核心模块,比如SD-WAN、FWaaS、SWG、零信任网络接入、DLP、CDN、行为管理、接入CPE等模块组成。
解决方案
建设统一互联网出口、推进IPv6规模部署、下一代安全物联网、全域安全SDWAN、互联网出口集中管理是本产品的主要客户对象。以IPv6部署为契机,通过部署本方案一次性解决IPv6部署与互联网统一出口、统一物联网问题,推进互联网的整合优化,重构企业网络架构,助力数字化转型。
基于IPv6的安全访问云平台服务(SACS)将核心原生安全能力与网络能力融合,为用户提供一个基于云基础架构的SaaS化安全接入服务平台。这种新模式使IT团队能够以灵活、经济、可扩展的方式轻松连接并保护其组织的所有网络和用户的安全。通过将网络功能和安全功能融合到一个统一的云服务平台中,为组织提供了一个简单连接到单一安全网络的机会,在这个网络中,无论他们身处何地都可以获得安全的接入以及对物理和云资源的访问,为客户的业务、网络和安全提供更全面和更敏捷的服务。
改造方案包括接入单位改造、互联网集中出口改造、统一运维与网络驾驶舱管理平台建设、SDWAN优化POP节点建设4部分组成。并在尽可能保留原内网地址不变的前提下为实现地址统一管理分配、支持IPv6做好准备工作。
接入单位改造:部署高性能多功能CPE。在原有链路基础上,实现高性能分支隧道建立、转发和故障自动切换。实现本地行为管理审计、基于应用和人员的流量优化管理、支持CACHE等功能实现边缘网络优化和传输协议优化。在支持保留原有v4地址基础上支持全局v6地址分配管理。支持NAT、路由、2层等多种隧道转发方式。
互联网集中出口改造:增加互联网出口带宽,实现统一接入、统一出口。出口部署抗DDoS、链路负载均衡、防火墙、入侵防御、防病毒网关、带宽管理系统及行为审计系统,各设备采用HA冗余部署模式,为整体出网链路提供安全、优化、合规能力建设。
统一运维与网络驾驶舱管理平台建设:实现CPE设备、地址分配策略、网络转发策略、行为管理策略、负载均衡策略等集中配置。实现审计数据、报告分析数据集中管理展示。实现智能报警、大屏可视化展示等。
优化POP节点建设:作为可选项或者2期建设项,通过在全国主要IDC机房部署POP节点,实现进一步的SDWAN性能优化,对特定应用进一步带宽保障。
通过部署SACS平台最终实现以下目的:
1): 灵活组网:从原始的L1~L3的网络能力延伸到虚拟的L2~L7,构建高性能,低时延,抗丢包的SD-WAN网络。构建大规模灵活,可靠,安全的企业互联是SD-WAN建设的核心。在分支机构侧CPE支持隧道NAT、路由、2层转发,以适应不同的组网场景需求。
2): 安全合规:实现一体化分支IT架构,打造广域网立体安全防护体系。实现分支边界安全隔离,2-7层安全防护;实现上网行为审计,满足网络安全法要求;
3):极简运维:自动化的网络配置,智能化的故障定位,可视化的状态呈现。支持流量、链路、终端、应用、设备、区域的可视化展示。支持实际拓扑、虚拟隧道拓扑可视化展示、支持分支智能告警。
4): 应用体验保障:以应用为核心,优化应用体验。
5):成本可控:轻松构建混合 WAN,并使分支机构可以使用普通宽带构建企业级 WAN。
6):集中运维:集中管理CPE设备、地址分配策略、网络转发策略、互联网网络转发策略、流量管理策略、行为管理策略、负载均衡策略等。支持审计数据集中、报告分析数据集中。
7):地址统一分配和支持IPv6:在支持保留原有v4地址不变的前提下,实现终端IPv6地址全局规划分配(根据需要也支持统一分配IPv4地址)、支持IPv6隧道建立实现全网IPv6互通,支持IPv6互联网访问、流量管理、行为管理、负载均衡。
主要特征
基于IPv6的安全访问云平台服务(SACS)是基于云的平台,可直接向连接到平台的端点提供联网功能和安全功能,将软件定义广域网(SD-WAN)和安全性集成到云服务中,从而保证简化的WAN部署、提高效率和安全性,无论最终用户需要什么资源,以及自身和资源位于何处,都具有相同的访问体验和安全防护能力。
基于IPv6的安全访问云平台服务(SACS)具备以下特征:支持全域网络部署、统一云管、融合安全。
具备以下功能:融合身份认证、零信任网络、接入设备管理功能;支持所有边缘接入控制(局域网接入、互联网出口、云通道、移动接入、SDWAN专线) ;融合安全(防火墙、DDOS、端点安全)和管理(流量管理、行为管理);支持网络加速(WEB加速、DNS加速、WAN加速);支持多跳负载和一跳上云。
具备以下接入形态:软件客户端、4G/5G CPE、千兆/万兆CPE、VCPE(可以部署主要云服务商)、物联网CPE。
技术特色
基于IPv6的安全访问云平台服务(SACS)是一种云架构模式,以IPv6作为骨干核心协议,将网络和安全解决方案的不同功能结合到一个统一的云安全平台中,以云方式部署、以服务的形式交付。涉及的领域包括SDN、SDWAN、IPv6及IPv6隧道协议、快速UDP协议、零信任安全、容器网络、端点安全、网络资产、应用安全、链路感知等方面。主要创新点包括:
创新了一种低时延UDP加密隧道传输协议,低延时UDP加密隧道技术:所有接入点和中心CPE之间的通信都采用基于互联网等各种线路的加密隧道,其中也包括移动接入点(如4G、5G),需要研究一种新的协议处理更多的连接,满足安全性和低延迟,同时满足移动漫游需要,还要支持TCP,TLS等协议的特性,但基于UDP传输。新的协议只需要1RTT(Round-Trip Time)的延迟就可以建立可靠安全的连接,在再次与服务器建立连接时可以实现0-RTT的连接建立延迟。
2、链路动态监测技术和网络智能编排:每个接入点自身具备多个链路,到中心CPE之间有多个路由线路组合,本产品研究并提出一种可根据链路质量变化情况动态调整并且支持中心控制器集中编排,自适应地确定一条最优虚拟传输路径的网络编排技术。
3、零信任架构:为确保可信且健康的设备访问业务网络,结合8021X和证书,针对设备、身份、指纹特征、端点的安全威胁提供全面防御。零信任架构需要对所有边缘进行支持,包括软终端、移动终端边缘、移动网关边缘(4G/5G CPE)、以太网接入网关边缘、WIFI无线接入边缘、无客户端浏览器边缘、物联网接入边缘等。
4、应用驱动的场景智能安全模型: 全局采集分析感知网络信息,根据不同应用场景对性能和安全的需求,采用分布式智能分析方式平衡性能和安全深度。
5、软件刀片架构的安全服务链:软件刀片架构采用高度集成的智能过滤引擎技术在一次数据拆包过程中,把对数据进行的并行立体检测融合成一个服务链完成,并可根据需求
方案收益与优势
本次网络改造,通过选用SACS组网的简便、快速、易维护方案,在满足监管合规、数据互通、统一归口的基础需求外,同时满足安全防护、智能应用管控等业务需求,实现合规、安全、管理等一体化能力,降低网络复杂性,提升管理能力。
强化合规管理,满足政策需求:
帮助企业满足监管合规要求,提升自身安全合规能力,构建一体化网络安全体系,保障企业深化改革、发展创新。
融合现有能力,方便改造落地:
支持多类网络融合互通,无需大规模网络改造,直接复用现有网络资源。即插即用,无须专业人员即可对大量无技术支撑的分支节点完成交付工作。
收敛网络边界,降低安全风险:
通过统一出口改造建设,避免分支企业独立访问互联网,减少资产暴露时间窗口及空间位置有效控制网络边界的暴露,实现安全风险最小化。
提升安全能力,加强体系建设:
综合提升安全防护能力,从网络边界到传输通道建立完整的安全信道,保证业务访问“沿途护卫”;实时监测网络状态,及时对各个企业终端、链路、安全情况进行统计分析和告警,并定期提供管理数据报告。
提高管理水平,实现降本增效:
快速完成网络的归并,降低人力资源的投入。简化网络和安全的集成复杂性,集中化管理和运维各分支站点,降低整体运维和管理的成本。
集中智脑管理,自动统一编排:
通过管理门户掌握全局,借助软件定义、模板编排,实现精细化应用资源匹配、自动化策略配置管理、智能化网络运营响应。
安全能力赋能,输出服务价值:
基于集中化的归口网络改造,实现安全能力的服务化、运营化,将优化整合的安全能力转化为运营服务收益。
无线城市
国务院发布的《“宽带中国”战略及实施方案》和《关于促进信息消费扩大内需的若干意见》的两份文件中均提出“无线局域网全面实现公共区域热点覆盖”的建设目标。可以说建设公共免费无线热点不但契合了国家的战略发展要求,同时也满足了城市从物联网、云计算、到智慧城市建设的基础需求,适应城市推动产业转型升级、打造创新城市的现实要求,必将提高城市综合竞争力,促进城市信息消费提升,实现经济又快又好发展提供有力的支撑。
我们提出的新整合模式是采用 “政府引导、企业主体、社会参与、市场运作” 的建设模式。采用统一的网络标识,通过项目的建设实施,公共免费热点将覆盖城市的交通枢纽、商业街圈、休闲和体育场所、文化场馆、医疗卫生机构、政府为民服务区等各类重要场所。为市民的购物、出行、学习、教育、保健等提供便利,为企业的宣传、营销、管理提供服务,为政府的政务公开、公共服务和城市管理提供支撑,使城市在免费无线热点建设特别是商业模式探索方面达到国内外领先水平。
智慧商圈
商业广场WIFI全覆盖,打造智慧商圈。通过商业WiFi提供差异化服务,吸引更多客流,提高了客户粘性。实现接入时页面认证推送广告,将优惠券等定制信息准确、精准的推送给需要的客户。客户通过掌上商城系统平台,可以了解购物中心的详细情况,如所有店铺的总览、位置分布,各品牌的介绍和商品导览、优惠券领取、在线购买、会员申请、积分管理等功能。通过客流量分析系统,对每天客流量进行数量统计分析,了解和分析消费者的购物习惯、喜好和需求等情况。
智慧景区
无线WiFi构建智慧景区,为解决游客在旅行过程中,面临的景区导航、景点讲解、吃喝玩乐、服务呼叫等问题。并在此基础上,协助相应的景区、政府职能机构,对景区景点、酒店餐饮、游客分布、游客消费情况、游客大数据存储等,实现高效的监管和统计。
智慧社区
无线WiFi构建智慧社区,智慧社区是指充分利用物联网、云计算、移动互联网等新一代信息技术的集成应用,为社区居民提供一个安全、舒适、便利的现代化、智慧化生活环境。通过打造智慧社区为社区百姓提供便利,从而加快和谐社区建设,推动区域社会进步。
社区构成较复杂,有别墅、高层洋房、低层洋房等。无线社区系统功能齐全,可实现访客留言、出入口监控、多媒体信息推送、安防报警、在线物业服务、社区电子商务等。该模式使整个小区既能利用社区局域网实现集中管理,又能根据需要对社区进行分级管理。连接智慧社区云服务平台,可提供多媒体信息推送、小区安防报警、物业管理、物业服务、社区商城、社区医疗、社区教育、远程智能家居系统等应用和服务;根据各种户型档次要求不同配置相应的社区系统。无线社区方案功能齐全、应用丰富、配置灵活,是一套能够很好满足中大型社区需求的解决方案。
智慧交通
无线WiFi覆盖机场、火车站、客运站等交通公共区域,为旅客提供优质服务,打造智慧交通,建立基于位置的旅客个性化服务推送平台,根据旅客位置进行情景识别,主动提供服务信息和商业推荐,不但满足乘客的旅行需求,充分利用服务资源,给每个旅客提供个性化的服务指导与宾至如归的全新体验。室内定位系统还能帮助旅客远程预约停车,并在停车场提供找车服务,大大提升机场、火车站、汽车客运站服务水平。
智慧园区
无线WiFi构建智慧园区,以 “新产业、新技术、新业态、新模式”的发展趋势,是智慧城市框架体系一部分,智慧园区实现电子政务协同高效、社会资源畅达易用、公众服务整合创新、企业应用广泛深入,将园区建成全国领先的信息化高科技园区和国际一流的智慧型城区。
餐厅咖啡厅
商家在WiFi页面上展示品牌形象,零成本互动式营销,强大的吸粉营销能力,将粉丝转化为会员。通过WIFI接入时的认证环节,增加微信公众平台的订阅用户数量,灵活利用微信线上渠道与线下服务结合,顾客可以随时接收店内优惠活动信息,引导顾客消费,优惠信息一键分享以及会员管理,提高顾客消费满意度,形成良好的口碑传播,提升商家知名度,吸引新客、留住老客。提供客流量分析系统对每天客流量进行统计分析,了解和分析顾客的消费习惯、喜好和需求,提升用户体验,提高商家服务质量,增加销售额和利润。
酒店宾馆
酒店宾馆向顾客提供免费WiFi,方便顾客随时上网,提高酒店服务水平,同时具有附加值服务,酒店可过WiFi登陆页展示酒店品牌形象,广告页可展示特色服务、优惠活动,提高酒店知名度,通过系统平台智能记录客流量,提供精确数据指导经营,方便开展WiFi营销。
全域数字资产
数字经济需要大量的数字软硬件与网络基础设施,同时也会产生大量的虚拟数字资产,数字资产包括了网络,终端、机房、链路、IOT设备、云资产,应用等有形数字资产,也包括了数据、行为、日志等虚拟数字资产。各个单位都面临着资产数量庞大、分布广、型号多、变动频繁的难题,想要管理起来费时又费力,效率极其低下,资产的位置和状态更无法实时获知。如何将数字资产进行可视化实时管理,评估其安全性和可用性,有必要研究运用一套先进的智能管控系统来提升数字资产管理的效率。
全域智能数字资产监测运维平台融合资产发现、资产建模孪生、可视运维、智能预判、文档交接、可用性监测、性能监测、安全监测、生命周期管理等功能,提供一体化数字资产归档、监测管理方案,并且提供融合故障预判、自动工单的综合性运维管理方案。
管理人员无须深入了解系统命令和配置规则,简单的通过Web界面进行操作,即可完成对整个企业全域数字资产的管理。
1.轻松管理全域内数字资产,各种数字资产的登记,归档和信息汇总
2.实时监测网络运行状况,可查看内部每台交换机上在线终端、端口流量等,探测交换机上的数字信息,降低网络中断风险
3.多种数据统计分析,直观的报表解读。
资产发现
1.数字资产发现
2.资产识别步骤
3.资产识别手段
4.资产建模
可以对机房、机柜、设备面板建模适配,以直观显示
5.资产盘点
支持对设备、链路、资源、应用、网元等多种主线盘点
6.拓扑展现
直观展示IT设备、当前状态、资产信息、使用部门、人员、物理位置之间的关联关系。
7.全方位的数字资产感知能力
8.资产合规
资产全生命周期、闭环治理
摸清家底之后,需要对需要治理的资产进行内部信息备案及资产信息更新
9.异常感知
系统建立了合规使用的模型,包括游客设备、私接设备、下挂设备等各种异常进行报警
10.状态感知
对各类资产进行感知分类。
11.报警与工单
对各类资产异常报警并结合工单运维系统实现工单处理
12.应用感知
对应用通断和质量进行监测
13.访问感知/需探针支持
通过对网络探针流量的分析全部感知网络访问
14.智能运维的重要性
● 需要智能运维方式替代手工运维,以提高运维效率、可用性、应用范围等。
● 可针对场景告警故障信息,自动关联排障案例,提供排障建议。
● 可针对用户场景和告警故障信息,自动关联匹配排障知识库进行智能排障分析。
● 知识库定期更新,并支持用户自定义扩充本地排障知识库
● 实现运维精力80/20原则分配。80%例行工作智能自动处理,20%重要问题专心处理。
15.资产管理与智能运维方案
一张图看清全网:基于H5技术实现拓扑图功能,支持矢量图元。可通过网络资产拓扑图层层下钻查看各区域的设备运行情况。
自动化监控预警:全方位、立体化建立资产信息库、业务流模型实现预警的智能压缩与关联,准确定向问题,实时预判故障。
自动巡检、一键排查:系统定期自动巡检并生成巡检报告。
融合电子文档交接:创新融合性电子文档管理功能,规避项目方案文档设计、实施、运维交接信息漏斗效应。
工单化故障考核:故障预判联动自动派单模块,量化考核故障抢修,提高网络可用率。
融合远程运维工具:内置远程运维工具手段,实现安全运维。
16.IT资产全生命周期运维
直观展示IT设备、当前状态、资产信息、使用部门、人员、物理位置之间的关联关系,支持操作审批流程,记录资产所有详细信息,同时支持资产的批量导出,便于运维人员快速查找及盘点。追寻设备在线状态情况,管理备品备件信息,能更好地做出恰当采购决策,协助企业有效管理资产。
17.IT资产管理一网一图
18.事件响应运维
当发生网络安全事件或网络运维事件时,系统根据资产关联关系及预案快速定位出受影响的网络资产,主动弹出并显示受影响网络资产的各种运行状态,供应急管理人员查看、参考。
19.融合电子文档交接管理
融合文档:创新融合性电子文档管理功能,规避项目方案文档设计、实施、运维交接信息漏斗效应,实现铁打的文档,流水的维护员
20.自动巡检
系统定期自动巡检并生成巡检报告
21.安全运维
系统提供内置远程运维工具,并记录运维的过程
背景描述
工业信息系统是国家重要基础设施,信息化服务的能力和水平是体现治理能力和服务现代化的重要标志。电子信息基础设施的稳定运行、规划与投资合理性、建设与维护科学性是衡量管理水平的重要标志。一般工业控制信息整个系统由GIS地图、图像采集、传输、控制、显示、物联网等设备和控制软件组成,对区域进行实时监控、采集、控制和信息记录以及数据分析。
现在工业或者数据采集系统覆盖面大,节点距离远,完全自布传输网成本高,维护工作量大,得不偿失。但是采用公共互联网存在安全性,稳定性问题,同时也增加了业务系统设计开发的难度。总体上需要建立一个广覆盖的、基于运营商网络的专网,该专网需要支持加密传输、多运营商冗余、支持4G/5G。同时为了满足未来要求,基于IPv4面临地址消耗殆尽的制约性问题,IPv6能够提供充足的地址和广阔的创新空间,具备快速便捷、可控可管可溯源的优势,可有效支撑物联网、云计算、智慧城市等全新信息化应用发展。在地址需求量大的工业监控网络开展IPv6规模部署,有助于管理模式的创新,可充分发挥IPv6协议在溯源、审计、精准定位及端端互联方面的优势,达到访问可控、接入可信、事件可定位、事后可追溯,提高网络安全保障能力,提升技术水平,满足未来长期技术要求和趋势。
工业系统部署物联网设备、大量摄像头、传感器、以及工业控制设备,多数采用静态IPv4地址管理,人工维护表格分配IP地址,部分采用传统DHCP分配IP地址,易出错,不好维护,无法溯源,无实名管理。对于管理、运维或者非法接入设备缺乏监测,存在地址冲突、私自接入专网的风险,为更好的维护实名IP地址管理、NTP时间校正、视频业务DNS域名解析,以及非法设备精细化管控,特为此提出此方案。
针对目前信息系统网络链路监控方面,还没有一种有效技术手段可以帮助网络与信息化管理人员实时掌握所租用链路的数字资产登记与使用情况,也无法了解到关联链路资产的链路在线情况。所以亟需引入有效的基础设施监管系统,有效掌握链路资产使用情况,及链路通断情况,保证网络的稳定运行。
应用是一种重要的数字基础资产,应用是业务的核心,访问应用需要必要的授权和安全发布,过滤。需要对应用的访问提供DDOS防护、应用安全防护、访问限制和攻击识别。同时也需要提供访问日志满足等级保护合规要求。
针对应用资源,目前缺少一个应用监测平台对各个应用访问情况、服务质量进行汇总,实时监测应用的访问速率、流量,主动监测应用访问质量是对链路、服务器资源监测的重要补充手段和直观体现,也是对链路占用的第三方客观评价手段。
因此,本方案提出通过建设基于IPv6的基础承载网与数字资产管理平台,实现一套基于IPv6协议、加密云网互联、融合地址管理、数字资产扫描与管理、终端管理、智能域名解析、准入与身份管理、时间同步、异常接入告警、链路监测、应用安全、应用发布与监测等功能的集群设备, 提供统一的管理界面和权限管理,提供统一的大屏管理。通过搭建基于4G/5G的加密云专网满足广域覆盖、通过支持IPv6满足未来技术要求,提供对网络链路、资产资源、应用资源的有效的、集中、统一监管,提高网络资源利率,降低投资成本,保障基础设施的稳定运行。
架构和应用场景
● 工业物联平台是面向下一代网络的物联基础平台,形成通用泛在的物联网基础平台可提供面向大型工业物联应用场景的完整的地址分配管理,终端准入、身份管理、物联网终端接入管理、物联网安全、物联网应用通用适配、云网互联、云端虚拟等核心基础功能。有了这个基础平台,用户只需专注于行业应用开发,可大大提高物联网应用开发部署速度和安全。
● 具备物联网组网功能(4G/5G/IoT/WIFI)
● SACS平台功能(云网,安全接入)
● 网络管理功能(地址分配、域名解析、授时、准入、身份认证)
● 数字资产管理功能
● 工业IO云虚拟化功能
● 应用管理(安全发布、监测)等
● 结合平台提供的RTU、PLC、工业边缘计算网关
用于传统产业智能升级,智能制造、协同制造、云制造;智慧交通、智慧水利、智慧农业、智慧管廊等智慧产业发展,实现以下功能:
● 远程数据采集
● 安全加密传输
● 工业协议控制
● 设备标识系统
● 内部终端探测
● 4G拨号传输
● 云端虚拟专网
● 提供usb、TTL、232、以太网、wifi、rola、蓝牙等多种通信手段
● 可以对物联网设备安全扫描,扫描漏洞
● 接入权限管理:可以对设备、策略组、服务、时间段等元素组合建立立体化的规则,允许、拒绝网络使用
● 系统应用安全发布与管理
主要功能
1.基于SACS核心
网络是以IPv6为核心的全新互联网架构,架构平台包含多个核心模块,比如SD-WAN、FWaaS、行为管理、接入CPE等模块组成。基于IPv6的安全访问云平台服务(SACS)将核心原生安全能力与网络能力融合,为用户提供一个基于云基础架构的SaaS化安全接入服务平台。通过将网络功能和安全功能融合到一个统一的云服务平台中,为组织提供了一个简单连接到单一安全网络的机会,在这个网络中,无论他们身处何地都可以获得安全的接入以及对物理和云资源的访问,为客户的业务、网络和安全提供更全面和更敏捷的服务。以IPv6部署为契机,通过部署本方案一次性解决IPv6部署与互联网统一出口、统一物联网问题,推进互联网的整合优化,重构网络架构,助力数字化转型。
2.基于数字资产全面可视化
链路、应用业务、IT资产均为重要的网络基础设施,网络基础设施的稳定运行、规划与投资合理性、建设与维护科学性是衡量管理水平的重要标志。通过对网络链路、应用资源、IT资产的有效的、集中、统一监管,提高网络资源利率,降低投资成本,保障基础设施的稳定运行,同时又减少运营操作成本。本方案全面探测内部数字资产,提供严格、周密的IP/MAC地址安全审计跟踪。
平台提供了数字资产登记汇总功能,把原来维护的IP地址、MAC、位置信息、负责人、部门等信息整理成DDI设备可以识别的格式,并核对无误后导入整理好的信息,由系统进行统一维护管理。
平台还支持交换机拓扑管理,可以配置交换生成拓扑结构并结合链路监测模块监测各个链路的质量和通断。扫描实时发现专网有多少交换机端口,那个端口是否空闲,可以实时通过SNMP阻断非法摄像头所连接的交换机端口。
系统初始化并开始轮询整个网络中交换机端口信息和ARP信息,将获取到的信息生成实时IP-MAC-端口表,将实时表与基准表做差异判断,如有不同信息则生成差异表并根据系统已设置的方式通知管理员,以便能及时做出处理。
平台针对工业领域多种主流协议如Modbus (Serial Line and TCP)、OPC XML-DA、OPC UA 、PROFIBUS、PROFINET等,进行数据采集及转换,实现工业数据的采集、处理、存储、远程配置与监控、分析及图形化展示,并做出智能分析、预警,灵活支持各种工业应用。
作为物联网基础平台,为大数据分析、展现提供核心数据支撑、二维图形、三维图形、图表、趋势图等多种基础展示功能,多角度展示实时数据,从而进一步支持智能化生产决策。
提供了实时设备IP地址分配、在线、审计和统计分析功能实现严格、周密的IP/MAC地址安全审计跟踪。提供了身份认证和非法设备上线探测功能,防止未知设备接入网络造成安全威胁,满足等保三级要求,符合公安部下发《关于加强公安视频监控安全管理工作的通知》。
网络链路质量监测感知系统,系统部署模式采用平台加探针,支持主动监测与被动监测。通过将链路当资产进行管理,有效掌握链路情况,包括数量、带宽、维护人等。同时链路资产实时关联链路质量监测数据,通过在接入节点部署监测探针,探针间执行互通测试,具备多链路智能检测功能,可实现网络真实带宽测试、链路质量测试等。可掌握各网络结点的连通质量、稳定性及互通性等内容,提高网络的健壮性与稳定性。
3.组网功能
是一套工业标准的物联网CPE设备。支持4G/5G网络,可以建立加密隧道、支持流量管理、边缘加速、防火墙级别转发定义等,支持IPv6网络架构上联方案。同时提供安全扫描和安全过滤功能。CPE设备包括三类:用于通信用的CPE,用于数据采集的RTU,用于控制的PLC,三类设备都支持光、有线、4G/5G接入,都支持远程加密传输和全球隧道。
是将现场工业数据连接到工业互联网云平台的工业级无线边缘智能网关系列,具备数据采集、协议转换功能,支持3G/4G/Wi-Fi/Ethernet/串口数据传输,支持采集工业控制器、传感器、仪器仪表、数控机床等设备,可作为大规模的分布式设备的接入节点,将工业数据与云制造应用、工业大数据应用无缝集成。
产品亮点:
● 接口丰富:支持3G/4G/Wi-Fi、1个LAN、2个串口(232、485)、1路数字DI及2路模拟AI输入,为不同应用场合提供不同的接入方案。
● 智能分析:内嵌丰富工业协议,可按需动态加载,自由转换;
● 安全:网络接入安全、网络防护安全、数据传输安全全方位保护。
● 高可靠:链路检测、内嵌软硬件看门狗,实现设备运行故障自修复功能。
● 本地管理与远程维护:支持本地web配置及云端远程配置管理。
● 全工业设计,-40℃-75℃工作温度,IP30防护等级保证网关可靠稳定运行在无人值守现场。
应用组网:
4.DDAI平台
随着专网建设,在专网中一大特点就是拥有一定数量的传感器终端、工业终端和物联网设备。目前在IP地址的规划和分配方面,采用人工管理的方式。这就需要管理员为每个IP地址的使用作登记,一旦管理不慎便容易造成终端IP地址冲突,严重情况下可能会使重要视频应用、控制设备无法接入网络。维护工作量大、及时性差、易出错、成本高。
建设内容包括一套标准、高性能的DHCP服务器。DHCP 服务器不仅仅是动态地址分配,还更应在可视化、高可靠、多策略访问控制、IP 分配率、运行监控、安全等诸多方面提供服务能力。DHCP 产品在IP地址分配的基础上进一步进行功能加强,完善的DHCP服务能力大幅改善了企业网络质量。
1.实时监控地址池使用率,lPS、已分配地址的起止时间,服务全过程可视化;
2.冲突核验,确认待分配地址未在网内使用后才正式分配,避免地址冲突;
3.多种地址分配方式,动态地址分配,静态地址分配,IP地址记忆分配,空闲地址分配;
4.提供实时和历史租约查询,运行全过程掌控;
5.基于DHCP指纹+MAC+线路进行人员定位,地址变化仍能识别具体终端身份;
6.双机HA 部署,任何一台故障,另一台继续分配地址;
7.完整的标准和自定义Opiton 支持;
8.防止用户私接路由、私设IP等,影响网络规划
DHCP实名动态分配,无需人工参与及管理;严格控制摄像头和其他设备接入网络;全面的IP/MAC日志分析,设备上线下线均有日志记录
5.准入和身份管理
由于没有任何安全准入控制设备,一旦有非法人员接入监控专网,就有泄密和失去控制的风险,无法做到边界实名接入。
平台提供了强化的8021X认证,做到了安全的接入边界。8021x认证还可以做到终端在任何位置VLAN信息和地址跟随账户变化而不是设备变化。
对于不支持或者无需8021x认证的设备平台也可以VX模式,对非法接入设备可以报警、主动地址冲突、分配临时地址等方式。
平台还提供了标准的Radius认证服务,支持认证服务的运行时间、支持源地址过滤,支持DDOS攻击防护、支持速率限制。
支持提供标准的LDAP目录服务,支持服务的运行时间、支持源地址过滤,支持DDOS攻击防护、支持速率限制。内置CA中心,可以生成证书及管理证书。
6.中心云网虚拟互联平台
采用SDN、SDWAN和网络与IO虚拟化技术,可以集中配置CPE,支持多互联网线路,采用专用隧道协议,支持多流设计;支持低等待延迟;支持0RTT加密建立;支持前向纠错和连接保持。具备以下特征:
1 全面实现IO和网络虚拟化:实现承载网和业务网2级网络分离,业务网完全采用overlay技术实现云端定义和安全隔离。
实现主要IO接口比如GPIO、串口完全云端虚拟化,实现数据采集完全云端化/
2、负载均衡与管理:
在一条网络阻塞时使用另一条网络通讯。SDWAN接入器拥有自动检测机制,在某一运营商网络无法通讯时将自动切换运营商网络。
3、自主选择最佳路径:
WAN广域网技术的关键,其实在于路径选择。对于不同的分支,SDWAN可以根据现网情况和配置策略,自主选择最佳路径。
4、部署简单,秒速完成:
仅需在节点安装节点CPE,在数据中心机房安装中心平台,进行相关配置,即可完成SDWAN网络的建立,就是这么方便和快捷,不再需要专业IT人士到场进行配置安装。
5、自管自控,智能运维
SD-WAN具有SDN的基因,所以在网络的管理上拥有先天的优势。SDWAN管理平台是图形可视化的。管理员可以清楚地通过网管界面看到SD-WAN的运行情况,并及时对出现的问题进行处置。这就大大降低了维护的难度,也减少了故障的处理时间。
6、降低成本
SDWAN技术使用运营商公网,不需要专线加持,在成本上仅需考虑SDWAN控制器的成本与运营商公网,与专线的成本相比微乎其微。
7.双栈应用发布与转换平台
主要实现对平台业务的安全发布,提供应用访问限制、安全过滤和加速。提供业务访问审计满足合规要求。同时提供IPv4、IPv6资源互访协议转换功能。
系统支持TCP、UDP、HTTP、HTTPS、MYSQL等多种应用的4to4/4to6/6to4/6to6的转换。通过安全参数的配置、服务时间的定义加强了应用的安全性,负载均衡策略降低了应用访问负载。提供网络层IPv6升级和应用层IPv6升级两种模式。
支持DDOS防护,DDOS攻击主要分为网络层攻击和应用层攻击。网络层攻击手段有SYN Flood、ACK Flood、ICMP Flood、UDP Flood、NTP Flood 、SSDP Flood、DNS Flood等。应用层攻击攻击手段主要有提交给服务器大量请求CC攻击防护、SQL注入、跨域防护、内容泄露等。
添加应用发布的同时,可以配置访问黑白名单,来控制访问IP来源。系统支持通过对源IP的运营商归属、国家、国内区域、地址段归属等四个维度来限制应用访问。
国家政策及举措背景
2017年11月26日,中共中央办公厅和国务院办公厅联合印发《推进互联网协议第六版(IPv6)规模部署行动计划》,启动IPv6在全国的规模化部署工作。文件要求省部级以上政府网站、央企网站和在线服务窗口,实现IPv6达标。国务院国资委、工信部、电子政务办、教育部分别发文,对两办文件进行具体落实。
Pv6发展监测平台符合辽宁省两办文件《推进互联网协议第六版(IPv6)规模部署行动计划》关于建设省IPv6发展监测平台的建设要求,按照国家网信办、信通院发布的IPv6发展监测指标体系、IPv6发展指数及评估方法,对一省或者一个市互联网网络、应用、终端、用户、流量等IPv6发展情况进行全面监测和深入分析。主要包括网站应用支持度监测、网络支持度监测、运营商DNS支持度监测、用户及流量检测、与公众用户自检5大模块,按两办文件要求对省及各市IPv6建设时间表的考核标准与要求,对各单位IPv6改造情况进行发展监测与考核。未来IPv6发展监测平台将为省下一代互联网应用和产业发展提供重要指导依据,将成为省网信办指导和监管互联网发展的重要管理支撑平台。
项目目标与主要建设内容
建设部署IPv6应用监测平台以第三方专业角度实现对全省IPv6的支持度、部署率进行全面、多维度的监测及评估,平台实现的主要功能如下:
1)网络支持度监测:对全省各地市的城域网或IDC机房,以区分ISP线路方式,进行IPv6连通性的监测,也包括链路IPv6支持的质量比如连接速率的检测,并汇总测试结果与统计分析; 自主选择测试节点与被测试节点,实现同地域或跨地域的IPv4和IPv6网络监测,进行网络数据分析,掌握不同地域对IPv6网络连通性的差异性,实时管理查看各节点运行情况,分别监测该节点IPv4和IPv6的时延及丢包率是否异常,以确保节点稳定运行,为IPv6应用监测平台保驾护航。能快速获取本机IPv4和IPv6地址,并可进行上传或下载的网络速度测试,也可对节点进行测试,查看不同地域的网络情况。
2)域名支持度监测:对运营商为IPv6用户分配的IPv6 DNS进行持续监测,监测其IPv6网络连通性,IPv6解析服务能力,并汇总测试结果与统计分析;
3)应用支持度监测:对省内政府门户网站、企事业网站以及其他排名靠前的主要应用服务网站进行IPv6连通性监测,分析其域名是否具备AAAA记录、IPv6地址是否可达、HTTP/HTTPS服务是否可通等多个维度进行监测,使用不同地区、不同ISP用户进行测试,并汇总测试结果与统计分析。
4) 网络及流量的监测:对运营商特定的样板区域检测IPv6用户普及率、流量比重、应用分布情况进行检测,并统计分析整体IPv6的普及情况。
5) 提供公共服务,大众用户可以使用该平台测试自己网络IPv6支持情况并提出改进意见和步骤。
IPv6监测平台总体架构
IPv6发展监测平台软件系统架构上分为表示层、业务层及数据层,在部署架构上分为中心平台,中心主监测结点,区域分布式探针监测节点。
软件架构如下图所示:
网络架构如下图所示:
平台部署要求
IPv6应用监测平台采用分布式部署架构,设计为三级服务架构,分别是由“平台管理节点”、“省中心主POP节点”,多个“地市ISP分布式POP节点”组成,分节点部署数量根据地市及各ISP网络实际情况进行规划安排。
1)管理节点:部署监测管理平台(Server),管理所有POP节点,包括主节点和分节点,并可按需向“所有节点”下发“测试任务或指令”,同时收集节点的测试数据,根据结果进行汇总,统计和分析。
2)省中心主POP节点:部署监测节点代理(Agent),
3)地市ISP分布式POP节点:部署监测节点代理(Agent)
项目效益评估
推进IPv6规模部署是互联网技术产业生态的一次全面升级,深刻影响着网络信息技术、产业、应用的创新和变革。大力发展基于IPv6的下一代互联网,有助于提升我国网络信息技术自主创新能力和产业高端发展水平,高效支撑移动互联网、物联网、工业互联网、云计算、大数据、人工智能等新兴领域快速发展,不断催生新技术新业态,促进网络应用进一步繁荣,是下一代互联网技术产业的一次重新洗牌。网信事业建设发展尤其要对接国际标准;IPv6作为互联网演进升级的必然趋势,在全球范围快速发展普及,为更好融入国际互联网和提高国际开放程度,IPv6升级改造迫切而必要。
建设IPv6应用监测平台将为全省IPv6发展提供实时监测和分析,为政府主管部门提供强有力的基础保障,建设IPv6应用升级平台将为各级政府和企业外网网站快速、批量、平滑向IPv6升级过渡得以实现落地,帮助政府和企业贯彻落实两办《推进互联网协议第六版(IPv6)规模部署行动计划》工作精神,也将积极推动IPv6的发展及产业技术升级转型。
