近年来以太网技术的不断发展，使其应用范围迅速扩大，远远超越了局域网的范畴，走向了园区网和城域网。以太网技术使园区网组建更加方便、经济，同时具有较高性能，深受建网者推崇。目前园区网络建设是一种“搭积木”式的模式，基础网络、安全、管理、控制等网络系统部件分散在不同阶段完成，各部分运行相对独立、关联性不强、抗风险能力差，没有协调统一的建网模式和架构。例如一味追求网络带宽性能，忽视安全防护，导致网络运行不稳定、病毒经常爆发、泄密事件经常发生等；还有的网络为了强化安全，对应用进行限制，影响了网络使用者的方便性，造成信息化发展受阻，因此该阶段园区网的安全、智能、管理、控制等方面的问题被广泛关注，园区网进入了基于智能上的多种技术融合阶段，尤其是智能集成安全的能力。

对于这些现实中存在的问题，港湾网络认为：园区网络需要具备畅通、安全、有序、可持续发展的特征，这些特征需要融合到一个网络架构下，构成统一的整体，建设一个和谐网络：

和谐网络是全面均衡的，不偏废、不失控；

和谐网络是整体的协同，不是各自为战；

和谐网络具备快速响应、迅速恢复能力；

和谐网络应用为本，兼顾性能与安全；

和谐网络是以被动与主动相结合促进网络有序化的。

结合和谐网络的发展目标，港湾网络认为和谐网络的架构包括四个功能部分：接入层、承载层、应用支撑系统、互联网出口，其位置与关系如下图所示。

 

四个功能主体之间在保持相对独立的同时，还有着紧密的联系。接入层、承载层、互联网出口三个部分是网络的基本组成部分，能够完成用户接入、数据转发处理、互联网连接等功能，应用支撑系统主要用于保障网络正常稳定运行，完成安全事件应急处理、网络设备配置管理等工作。

 

²接入层

接入层包括接入控制点和终端，接入控制点、终端与后台支撑系统有着密切的配合，主要完成用户的接入、认证、控制等功能。

接入层处于网络的下层边缘，是网络使用者与网络资源的交互面，在这里对用户进行管理控制是最精确的，因此引入“接入控制点”这个功能实体，接入控制点的物理实体是以太网接入交换机。有以下几个方面的作用：

终端接入与数据转发。用户主机的接入和用户数据的转发处理是基本功能。

实现用户接入认证。能够支持802.1X认证方式，便于对用户精确控制。

感知流量与IDS实现联动。接入控制点需要具备对数据流的感知能力，在网络发生异常时能够与IDS系统联动处理，确保网络运行安全。

与认证系统配合实现对异常用户的处理。通过与认证系统配合，可以对发生异常、威胁到网络运行安全的用户进行限速、断线处理。

用户访问权限的控制。根据用户级别、安全级别，通过ACL方式对用户访问的权限加以控制。

可以看出，作为网络结构的重要组成部分，接入控制点的终端接入与数据转发功能是独立完成之外，其他几个方面的功能都是与后台支撑系统配合完成的。这种配合的实现需要在网络初始规划时考虑周全，由认证系统、安全管理系统、网络管理系统配合共同完成，各个部分都是不可或缺的。

通常情况下，终端不属于网络的一部分，但它对网络运行造成的影响却是举足轻重的。目前的终端绝大多数基于X86平台，智能程度比较高，能够对用户数据进行详细的分析和感知，如何更好的利用终端的这个特性成为网络建设的一个焦点。“和谐网络”组网架构中的终端上安装了SAC（Security Access Client）安全准入客户端软件，能够充分发挥终端平台感知能力强的特性，为保护网络安全发挥重要作用。SAC客户端本质上具备认证和主机安全保护两个方面的功能，有如下作用：

认证发起。向接入控制点发起802.1X认证报文，配合完成认证。

用户主机管理。对主机的软、硬件资产，文件的拷入拷出，I/O接口进行管理。

漏洞与补丁检测。检测操作系统的漏洞，同时对补丁情况进行检查。

病毒软件检测。能够检测主机是否安装最新版本的防毒软件，并对未安装用户进行强制安装，确保网络安全。

本地异常流量感知。根据数据流量大小、连接数目多少，对异常流量进行检测，并将异常上报安全管理平台。

当然，服务器是不需要做认证的，有一些对易用性要求高的特殊主机（例如网管员的主机）也是不需要做认证的，甚至不能进行安全检测，这部分终端是不安装SAC客户端的。此类终端可直接接入到汇聚层，由汇聚层中存在的“内部安全网关”功能实体（内部安全网关是承载层的功能实体，主要实现防火墙、IPS、AV的功能，针对用户、VLAN进行内部访问数据的安全过滤）来完成安全监测，确保接入终端的安全及网络的安全稳定。

 

承载层

作为和谐网络的中坚力量，承载层承担着数据汇聚、转发处理的重任，提供高性能、高带宽、高密度端口、优质的服务质量是其主要功能。在和谐网络架构下，承载层还需要增加“内部安全网关”功能模块，这个功能模块可以用来对内部重要用户和重要服务器进行保护，有助于提升整网安全系数。承载层的主要作用如下：

提供较强的数据交换处理能力，确保数据线速转发。由于内部网络所有的数据都会由承载层处理 ，因此性能要求是比较高的。

提供高密度GE接口，用于汇接汇聚层设备并连接服务器群。为了确保网络的连接能力和扩展性，承载层需要提供高密度的GE接口。

提供OSPF等动态路由协议，维护一定的路由表空间，实现策略路由。园区网内路由应用越来越广泛，需要开启动态路由协议。

内部数据安全控制。为了保护内部用户之间的数据安全，通过内部安全网关功能模块可以实现内部数据的安全过滤。

注：内部安全网关可以是单独的实体，也可以与核心交换机或汇聚交换机合一，主要实现“内部防火墙”的功能，针对用户、VLAN等实施安全策略；它也可以与IDS或网络管理系统实现联动，对安全事件实现应急响应。

承载层一般包含核心层和汇聚层，在小型园区网络中，核心、汇聚可以合一。

互联网出口

互联网出口是园区网与Internet连接的唯一通道，出口的稳定、性能、安全都是建网者非常关心的问题。目前网络出口网关部署往往采用分散的方式，路由器、防火墙、IDS、AV等均采用独立设备实现。分散部署方式存在管理难度大、协调性差、存在性能瓶颈、投资高、安全系数低等问题，尤其是应对DDOS、蠕虫病毒等混合攻击的能力很弱，难以保证网络整体的安全。

在和谐网络的架构中，互联网出口部署的是高性能的多功能安全网关，基于专门设计的高性能硬件平台，多功能安全网关具有高达万兆的性能，满足各种规模园区网的需求。多功能安全网关还具有丰富的功能，对路由协议、VPN、FW、AV、IPS等功能的支持齐全，可以确保互联网出口在安全前提下的高速数据转发。

 

应用支撑系统

在和谐网络架构中，用户的管理、安全策略的控制实施是由应用支撑系统用来完成的，应用支撑系统由网络管理系统、安全管理系统、认证系统、IDS等功能部件组成。其作用如下：

网络设备的管理控制。对承载层和接入层的交换机设备进行配置管理、设备管理。

安全策略的制定和下发。制定针对用户的安全策略，下发到SAC终端和接入控制点执行。

用户准入的控制、用户权限的分配。由认证系统与接入控制点配合完成对用户的认证过程，并根据用户类别进行权限分配。

用户计费策略的实施。由计费系统对用户根据时长、流量等进行计费。

网络异常分析、安全事件应急处理。后台的安全管理平台、IDS与SAC终端、接入控制点、多功能安全网关可以配合完成对安全事件的应急处理。

用户的反向追踪定位。通过认证系统，可以准确判断用户所处的物理位置。

 

应用支撑系统中的各功能模块都具备“管理”、“控制”的功能，通过与接入控制点、终端、多功能安全网关的配合来完成用户管理、准入控制、安全事件响应等具体功能。应用支撑系统同时是网管员与网络的交互界面，高智能的应用支撑平台能够减少网管员工作量，简化网络管理流程。

 

总结：凡事“预则立，不预则废”，网络的建设也是如此。港湾“和谐网络”架构的提出正是给园区网的建设规划了一个蓝图，帮助网络建设者在网络建设之前做好充分的考虑，为建设“以用为本的聪明网络”打下坚实的基础。